Net-Worm.Win32.Kolabc.gza

 
1. 요약 : IRC [백도어] 기능을 가진 윈도우 기반의 네트워크 웜
 - 코드명 : Net-Worm.Win32.Kolabc.gza (명명 : Kaspersky, 2009-07-22, GMT+1)
 - 다른 이름 : Exploit:Win32/MS08067.gen!A, Mal/TinyDL-T 
 - 감염 경로 : MS08-067, MS04-012, MS04-011 + [취약한 패스워드]의 네트워크 [공유폴더] 
 - 크기 : 171,955 바이트 (MD5 : deffdf68e848d5e5c0e2019b16bc05e2)
 - [포트] : 69 (UDP), 1051 (TCP), 1176 (TCP), 17038 (TCP)

2. 생성 파일 (%시스템% 란? : 클릭) 
 - %윈도우% 폴더의 [Font] 폴더 아래 : unwise_.exe (2,695,168 바이트)

3. 감염 예방 및 관련 정보
 - MS08-067, MS04-012, MS04-011 보안 취약점 패치 설치
 - 악성코드 차단을 위한 관리목적 공유폴더 및 공유폴더 관리
 - 열려진 포트의 위험성과 포트 점검 요령


4. 주요 증상 : IRC [백도어] 생성 후 악의적 명령 수행
 - 윈도우의 특정 서비스 disable : wscsvc, 원격 레지스트리 서비스 등
 - 보안 및 AV관련 사이트 접속 차단

5. 레지스트리 추가/변경 (HKLM 이란? : 클릭)
 - HKLM -> SYSTEM -> ControlSet001 -> Services -> Windows Hosts Controller 
 - HKLM -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Shell Extensions
   intime = 감염된 날짜와 시간, reup = 0x0000007A 
 - HKLM -> SOFTWARE -> Policies -> Microsoft -> Windows -> WindowsUpdate DonotAllowXPSP2 = 1 
 - HKLM -> SOFTWARE -> Policies -> Microsoft -> MRT, DontReportInfectionInformation = 1 
 - HKLM -> SOFTWARE -> Policies -> Microsoft -> Windows NT -> Windows File Protection  SFCDisable = 0xFFFFFF9D, SFCScan = 0
 - HKLM -> SYSTEM -> ControlSet001 -> Control, WaitToKillServiceT = 5000

6. 진단/치료 (일부 통하기 공개)
 - IRCbot 웜 전용 치료 백신 다운로드 및 감염 경로 차단 
 - 자주 감염되는 악성코드 전용 제거/치료 도구 (80 종류)
 - 무료 온라인/오프라인 악성코드 검사/치료 도구 모음 
 - 무료 온라인 검사 도구 모음 (국내 6개 제품)