본문 바로가기
조치 가이드

Rustock 조치 가이드

by 비회원 2009. 10. 22.

1. 증상 및 진단 확인
-----------------------------------------------------------------


  1) 방화벽 등의 보안장비에서 Remote 25번 포트로 트래픽을 발생시키는 시스템을 찾는다.
  2) 감염이 의심되는 시스템에서 [시작] – [실행]에서 cmd.exe 를 실행 후, netstat –ano
      명령으로 네트워크
연결을 확인한다. Rustock에 감염된 시스템은 Remote TCP 25번
      포트로 SYN_SENT 증상을 발생시킨다.



아래와 같이 Ahnreport의 ‘네트워크 연결’ 항목에서도 확인이 가능하다.


2. 증상 발생 시 조치방법 I : 제품
-----------------------------------------------------------------

  제품에서 진단되는 경우 아래 과정으로 조치 수행해야 하며, 두 항목을 함께 진행할 것을
  권고함

  1) 만일, V3제품으로 진단되는 내용이 없을 경우, 정상모드로 부팅하여 안철수연구소
      홈페이지를 통해 Rustock 전용백신으로 다운로드 받아 진단/치료를 수행한다.

      (전용백신 다운로드 경로 : http://download.ahnlab.com/vaccine/v3rustock_gen.exe)
  2) Rustock의 경우, 진단 무력화 기법을 사용하기 때문에 시스템을 안전모드(네트워크
     지원)로 부팅하여 설치된 V3제품으로 수동검사를 통한 시스템 전체 검사를 수행한다.



'조치 가이드' 카테고리의 다른 글

MS 09 - 054 수정된 패치 업데이트 공지  (2) 2009.11.05
Rustock 조치 가이드 (2)  (2) 2009.10.28
Rustock 조치 가이드  (2) 2009.10.22
Conficker 조치 가이드 (2)  (3) 2009.10.16
Conficker 조치 가이드 (1)  (2) 2009.10.13
Total Security 조치 가이드  (49) 2009.09.29

댓글2