공지사항

무료 전자세금계산서 세무/회계/재고/인사/급여 관리 간편장부 통합 기업 ERP - 야호텍스

[긴급] 바이러스 경고 패치 하시기 바랍니다.


등록	2003/08/13 00:00:00	조회	52170
이름	관리자	추천	6867

안녕하세요 ?
야호텍스 담당자 입니다.
어제부터 윈도우 2000 을 사용하시는 고객의 PC가 야호텍스에 로그인이 되지 않고,
다운로드가 되지 않는 등 바이러스 로 인한 피해가 솔축 하고 있습니다...
본 공지를 보시는 회원님들 께서는 긴급 패치를 마이크로소프트 사에서 받으신 다음,
리부팅 하신 후 사용 해 보시기 바랍니다...
문의 사항이 있으시면, 고객센터로 문의 하여 주시기 바랍니다...
감사합니다...

Win32/Blaster.worm.6176

다른 이름	W32.Blaster.Worm, W32/Lovsan.worm, Worm.Win32.Blaster.6176, Win32.HLLW.Lovesan.11296, WORM_MSBLAST.A

감염시 위험도	3등급(위해)

확산 위험도	2등급	현재 확산도	1등급

종류	웜	감염 형태	실행파일

감염 OS	윈도우	감염 경로	네트워크/보안취약성

최초발견일	2003-08-11	국내발견일	2003-08-12

특정활동일	1월 ~ 8월 : 16일 이후 9월 ~ 12월 : 매일	제작국	불분명

진단 가능 엔진	2003.08.12.00	치료 가능 엔진	2003.08.12.00

	※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.

증상	- 135번 포트로 다량의 트래픽이 발생한다. - 경우에 따라 에러창이 뜨거나 시스템이 재부팅되기도 한다. - 감염된 시스템의 날짜에 따라 특정 사이트를 공격한다.

내용	Win32/Blaster.worm.6176은 2003년 8월 12일 새벽(한국 시간 기준)에 발견되었으며 8월 12일 아침부터 많은 샘플을 접수받았다. 윈도우 NT 계열 ( NT/2000/XP/2003 )의 RPC DCOM 취약성을 이용해 전파되는 웜으로 윈도우 9X 계열(윈도우 95/98/Me)는 영향을 받지 않는다. RPC DCOM 취약성을 가진 윈도우 시스템에서 감염되며 감염된 시스템은 135번 포트(epmap)의 트래픽이 현저하게 증가하며 시스템에 따라 재부팅이나 에러 메시지가 뜨는 경우가 있다. 웜은 윈도우 NT 계열의 취약성을 이용하므로 패치를 하지 않으면 근본적으로 감염을 막을 수 없다. - 전파 방법 웜 파일이 시작되면 랜덤한 IP 어드레스를 선택해 주소를 하나씩 증가시키며 RPC DCOM 취약성이 있는 시스템(135번 포트 이용)을 찾아 공격 한다. 공격시스템은 취약성을 가진 시스템의 명령 프롬프트를 얻을 수 있고 TFTP 프로그램(TFTP.EXE)을 이용해 웜 파일(MSBLAST.EXE)을 복사하고 웜 파일을 실행한다. 이때 공격받은 시스템은 4444번 포트가 오픈되고 이 포트를 이용하여 웜 파일을 전송받는다. 4444번 포트는 감염되는 순간만 오픈되므로, NETSTAT 명령을 이용해서 확인하기는 힘들다. 시스템에 따라 시스템이 재부팅되거나 에러 메시지창이 뜨기도 한다. 에러 메시지창이 뜬 시스템은 탐색기에서 "파일 복사"(Ctrl+C)나 "붙여넣기(P)"(Ctrl+P) 등의 명령이 실행되지 않는다. - 실행 후 증상 웜 파일이 실행되면 다음 레지스트리에 웜 파일을 등록해 윈도우 시작시 자동 실행되게 한다. HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 에 Windows auto update 에 msblast.exe 등록 이후 시스템 날짜를 검사해 매달 16일 이후 혹은 매년 9월 이후인지 검사한다. 즉, 1월~8월은 매월 16일 이후, 9월~12월에는 매일 Windowsupdate.com 을 공격하는 증상이 있다. 따라서 2003년 8월 16일부터 첫 공격이 시작된다. 감염된 시스템은 역시 다른 시스템을 감염시킨다. 감염된 시스템을 NETSTAT 로 확인하면 여러 포트가 열려 있음을 알 수 있다. 현재까지 이 포트의 목적은 알려지지 않았다 여러 IP에 135번 포트로 SYN_SENT 패킷을 보내는 걸 볼 수 있다. 이는 취약성이 존재하는 시스템을 찾기 위한 과정이다.

치료방법	- 금일 긴급업데이트된 긴급엔진(2003.08.12.00)으로 업데이트하여 진단/치료(삭제)한다. - 시스템이 몇분마다 재부팅되는 현상이 발생하는 시스템에서는 다음과 같이 수동조치한다. 1. 네트워크 선을 뽑고 윈도우 부팅시 [F8] 을 눌러 "안전모드"로 부팅한다. 2. "윈도우 작업 관리자" ( Ctrl+Alt+Del 를 동시에 누른 후 작업 관리자(T) 선택)를 선택 후 프로세스에서 MSBlast.exe 파일을 찾아 종료 시킨다. 3. 탐색기에서 TFTP.EXE 파일의 찾아 이름을 다른 이름 ( 예. TFTP.EX_ )으로 변경한다. 이는 웜이 TFTP.EXE 를 통해 전파되므로 TFTP.EXE 의 실행을 막으면 웜이 해당 시스템으로 전파되는 과정을 막을 수 있다. 하지만, RPC DCOM 취약성 공격자체를 막을 수는 없다. 4. 탐색기에서 MSBLAST.EXE 파일을 찾아 삭제한다. 보기(V) -> 탐색 창(E) -> 검색(S)의 파일 및 폴더 찾기에서 MSBLAST.EXE 선택한다. 5. 찾은 MSBLAST.EXE 파일 삭제을 삭제한다. 6. 감염되지 않은 시스템에서 사용하는 OS 버전에 맞는 다음 패치를 다운 받아 플로피 디스크 등에 담아 복사한다. - Windows 2000 (한글버전) [MS사에서 받기] [AhnLab에서 받기] - Windows 2000 (영문버전) [MS사에서 받기] [AhnLab에서 받기] - Windows XP (한글버전) [MS사에서 받기] [AhnLab에서 받기] - Windows XP (영문버전) [MS사에서 받기] [AhnLab에서 받기] - Windows NT 4.0 (한글버전) [MS사에서 받기] [AhnLab에서 받기] - Windows NT 4.0 (영문버전) [MS사에서 받기] [AhnLab에서 받기] - Windows NT Server 4.0, Terminal Server Edition (영문버전) [MS사에서 받기] [AhnLab에서 받기] - Windows Server 2003 (영문버전) [MS사에서 받기] [AhnLab에서 받기] 7. 감염된 시스템을 재부팅한 후 플로피 디스크에 담은 패치를 하드디스크로 복사한다. 8. 복사한 패치파일을 실행하여 패치를 적용한 후 네트워크 선을 꽂고 재부팅 한다. 9. 3번에서 변경한 파일의 이름을 다시 TFTP.EXE 로 수정한다.

참고사항	Microsoft RPC 버퍼 오버플로우 취약점 자세한 보기


	전자세금계산서 정식오픈 및 회원요금제 변경	관리자	2010/03/01	50183	7012

	전자세금계산서 서비스 사용방법 공지	관리자	2010/03/01	48495	2873

	전자세금계산서 서비스 관련 안내	관리자	2010/03/01	80333	10376

	공인인증서 관련 공지	관리자	2010/03/02	44860	2881

	비회원 전자세금계산서 관련 공지	관리자	2010/03/02	44355	2884

	이메일이 안 가는 경우	관리자	2010/03/03	44847	2860

	인증서 관리가 자꾸 뜰때	관리자	2010/03/03	47329	2979

	매월 5일까지 교부 및 국세청 전송	관리자	2010/03/12	50675	2973

	전용지 택배비 선불로 변경	관리자	2010/06/30	45387	3002

	부가세신고 1기 확정 관련 공지	관리자	2010/07/19	49657	3463

	국세청 자동신고 방식 적용방법	관리자	2010/08/03	45820	2938

	수정세금계산서 기능 추가	관리자	2010/10/14	43501	2959

	국세청 전송 휴일 관련 공지	관리자	2011/04/01	41647	2767

	하계 휴가공지 (23일~26일)	관리자	2011/08/22	38501	2553

	전자세금계산서 국세청 전송 관련 안내	관리자	2011/12/26	44179	2623

	새주소 도입완료	관리자	2012/01/04	45274	3300

	전자세금계산서 개정내용 안내	관리자	2012/03/06	46314	3364

	야호텍스 휴가기간 공지	관리자	2012/08/23	44851	3196

	사이트 일시중단 안내	관리자	2013/10/29	28612	2121

69	부가가치세법 변경에 따른 신용카드매출전표 및 세금계산서 변경 안내	관리자	2004/07/05	60820	9627

	[긴급] 바이러스 경고 패치 하시기 바랍니다.	관리자	2003/08/13	52170	6867

67	[알림]메뉴중 [인사급여]에 관한 도움말은 현재 제작중입니다.	관리자	2002/05/28	42799	5998

66	서버 이전 및 증설	관리자	2004/05/14	51585	5995

65	[전자세금계산서]를 사용 하세요...	관리자	2003/05/19	42009	5965

64	야호텍스 휴가 기간 입니다.	관리자	2004/08/01	55864	5960

63	야호텍스 휴가기간 공지	관리자	2005/07/27	63430	5862

62	내년 무기장 사업자 세부담 크게 늘어	관리자	2003/12/26	48838	5573

61	카드 결제 시스템 변경으로 인하여, 계좌이체로 결제 바랍니다.	관리자	2004/03/29	53299	5285

60	회계연도를 바꿔 주시기 바랍니다...	관리자	2004/01/02	51389	5209

59	전자세금계산서 관련 법령 필독 공지사항	류원진	2012/06/26	46725	5200

58	2005년도 간이세액, 건강보험표준보수월액 업데이트	관리자	2005/02/07	54931	5145

57	회원가입 시 주민등록번호 입력에 대한 공고문	관리자	2005/05/31	59749	5115

56	보안서버(SSL) 적용에 따른 공	관리자	2009/10/16	44821	4964

55	회계연도를 바꿔 주시기 바랍니다.	관리자	2005/01/08	54217	4910

1 [2][3][4][5][6]



	(주)비투비게이트, 사업자번호 : 528-86-00292, 대표 : 류원진 인천 부평구 청천동 424-9 부평테크노파크M2 1116호 국세청 대용량 연계사업자 승인번호 : 41000120 고객센터 : 070-8245-0460, FAX : 070-8220-3647 Copyright 2001 ~ 2019 B2BGATE Inc. All rights reserved.