NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파되는 웜 바이러스이다.
바이러스가 실행되면 일반적으로 윈도우즈의 시스템 폴더(c:\winnt\system32)에 msblast.exe 파일을 생성하고
레지스트리를 다음값으로 첨부한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에
Windows auto update = msblast.exe
윈도우즈 자체가 계속 재부팅 되기도 하며, 특정 포트(135번)의 트래픽이 과중된다.
또한 시스템의 복사, 익스플로러의 새창 띄우기와 즐겨찾기와 같은
바로가기 형식의 링크가 실행되지 않는다.
이 정보는 분석이 더 이루어지는 데로 업데이트될 예정이다.
예방 및 수동조치방법
[방법1]
1.[시작] - [실행] 에서 Regedit 실행 후, 다음의 값을 찾아 삭제한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에 Windows auto update 의 값 msblast.exe 이 있다면 삭제한다.
2. ctrl-alt-del 키를 이용하여 작업관리자를 실행시킨다.
msblast.exe 프로세스를 찾아 [프로세스 끝내기]를 클릭 하여,
프로세스를 종료 한다.
4. 만약 패치를 받는 동안 윈도우 재부팅 카운드가 나오면 다음과 같이
중지시키도록 한다.
[시작]->[실행] -> Shutdown -a 입력후 [enter]
[방법 2]
1. http://www.everyzone.com 에서 Worm-W32/Blaster 보안 패치를 받는다.
2. 컴퓨터를 켜서 재부팅한다.
3. F8키를 눌러서 안전모드로 부팅한다.
4. 시작->실행->cmd 를 실행한다.
5. del c:\윈도우즈 시스템 폴더\msblast.exe
ex1) del c:\windows\system32\msblast.exe
ex2) del c:\winnt\system32\msblast.exe
6. 1 에서 받아놓은 보안 패치를 실행한다.
7. 재부팅하여 컴퓨터를 사용한다.
* 4-5 과정은 윈도우즈 탐색기를 이용하여 직접 파일을 삭제해도 된다.
* 참고로 로그인 암호가 설정되어 있지 않다면 반드시 설정을 해야만
다른 바이러스의 감염을 막을수가 있다.
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
Home 
