(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

I-Worm/CodeRed

바이러스 종류

Worm

실행환경

Win NT, Win 2000

발견일

제작지

위험등급

확산방법

바이러스 크기

첨부파일

메일제목

증상요약

치료방법

IIS 를 설치한 서버 관리자는 CodeRed 의 감염여부와 상관없이 아래의 주소
에서 패치를 받아 적용하여 미연의 피해를 방지하기 바란다.

http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/ms01-033.asp

이외에 갑자기 부하가 많이 걸려서 웹서버가 느려진 경우라면 CodeRed 를
의심해 볼수 있다.
CodeRed 는 감염시 메모리에만 상주하므로 재부팅하거나 inetinfo.exe 를
재실행하면 사라지게 된다.

상세설명

MS Index Server and Indexing Service ISAPI Extension Buffer Overflow
Vulnerability

마이크로 소프트의 윈도우즈 NT 4.0 옵션팩과 윈도우즈 2000 계열에 포함되
어 있는 인덱스 서버와 인덱싱 서비스는 공격자가 BOF(Buffer OverFlow)
를 발생시켜 공격할 수 있는 버그가 있다. 실제로 이러한 버그를 이용한 공
격은 기존에도 많이 있었으며, 근래 미국과 중국간의 사이버전에서 중국이
미국 공격을 위해서 제작한 웜으로 다른 서버들이 경유지로 사용될 수 있는
데, 이 과정에서 국내는 물론 전 세계 많은 웹 서버들이 공격받고 있으며,
IIS 를 설치하지 않는 Win 95, 98, ME, Workstation 은 감염대상이
아니다.
매월 1일에서 19일 사이에는 임의의 IP 주소의 80번(HTTP) 포트로 메모리
에 있던 자기자신을 송신하여 감염을 시키려 시도한다.
매월 20일에서 28일 사이에는 www1.whitehouse.gov 사이트를 를 공격하여
서버의 운영을 방해하는데, 만약 감염된 웹 서버가 1,000 대 라면 이 서버
들이 동시에 공격을 하게되는데,
현재 국내의 웹서버들도 많이 감염된 상황이며, 해당 기간이 되면 일제히
www1.whitehouse.gov사이트를 공격할 것이다.

예방 및 수동조치방법