최근 Conficker 중복감염 증상이 나타나고 있습니다. MS08-067 취약점을 이용한 Worm.Conficker, Win32.Worm.Downadup.Gen 악성코드가 USB와 네트워크를 통해 다시 점차 확산되고 있습니다. Worm.Conficke 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고 인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 예방 조치를 필수적으로 시행해야 합니다.

[감염 현상]

1. 계정 잠금 정책이 실행됩니다.

2. 자동 업데이트, BITS(Background Intelligent Transfer Service), Windows Defender 및 오류 보고 서비스가 사용되지 않게 설정되어 있습니다.

3. 도메인 컨트롤러가 클라이언트 요청에 느리게 응답합니다.

4. 다양한 보안 관련 웹 사이트에 액세스할 수 없습니다.

5. 보안 패치가 되지 않은 PC를 원격지점에서 공격자가 통제하도록 할 수 있는 권한을 부여합니다

6. 다른 악성코드를 추가적으로 다운로드하는 등 추가적인 감염을 위해 과도하게 패킷을 발송하여 인터넷 속도를 저하시키거나 인터넷 연결 장애 현상을 초래합니다

[전파 방법]

1. 보안 업데이트 958644(MS08-067)에 의해 패치되는 취약성 이용

2. 네트워크 공유 사용

3. 자동 재생 기능 사용

위의 방법으로 전파되므로 네트위크를 정리할 때는 이전에 정리한 시스템에 위험요소가 다시 침투되지 않도록 주의해야 합니다.

[치료 방법]

전용백신 다운로드

※ Worm.Conficker 전용 백신을 실행하면 자동으로 시스템을 검사/치료하고 창이 사라집니다. 해당 악성코드의 변종 발생 가능성이 높으므로, 전용백신으로 치료해도 같은 증상이 반복해서 나타나는 경우 알약 [신고하기]를 통해 혹은 알약 고객센터를 통해 신고를 부탁드립니다.

[예방 방법]

1. MS08-067취약점에 대한 보안패치를 업데이트합니다.

Microsoft MS08-067 취약점 정보 :

http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx

2. 알약의 DB업데이트를 최신으로 유지합니다.

3. USB(이동식 저장장치)의 자동실행(Autorun)을 통한 감염을 막기위해 USB 자동 실행을 차단하고, 현재 사용중인 공유 폴더 설정 해제를 권장합니다.

USB 자동실행 차단 툴 다운로드 : usbguard 설치 파일 링크

※ “자동실행 차단” 버튼을 누르면 autorun.inf를 통한 USB(이동식 저장장치)의 자동실행 기능이 차단됩니다.

4. 윈도우 사용자계정에 문자+숫자, 6자리 이상의 암호를 설정해 주세요. PC에 암호가 없거나 너무 쉬우면 근처에 있는 다른 감염된 컴퓨터에서 원격으로 악성코드를 설치할 수 있습니다.

※ 윈도우 제어판 – ‘사용자 계정’을 실행하시면 암호를 설정하는 메뉴가 나타납니다.

※ 기타 추가 조치 사항

기업의 네트워크나 보안 관리자께서는 방화벽이나 IPS에서 TCP 139, 445번 포트 차단을 권장합니다.