[주의예보] Codered.F Worm
한국정보보호진흥원 CERTCC-KR 입니다.
[개요]
이 웜은 지난 2001년 7월에 발생한 Codered웜의 변종으로 3월 11일 외국에서 처음 발견
된 것으로 알려져 있다. 기존의 Codred웜과 동일하게 IIS인덱스 서비스의 취약점을 이
용하고 확산방법도 유사하나 공격주기가 정해져 있지 않다는 것이 다르다. 위 취약점
을 패치하지 않은 상태로 IIS4.0, IIS5.0를 구동하는 윈도우 NT/2000 시스템에 영향을 주
며, 침입차단시스템(Firewall)에서 일반적으로 열어놓고 있는 웹서비스를 통하여 유포
되기 때문에 주의가 요구된다.
[탐지방법]
Codered 웜 공격을 받으면 공격 성공여부에 상관없이 아래와 같은 형태로 로그가 남
을 수 있다. ( IIS 로그 위치- C:\WINNT/system32/LogFiles/W3SVC )
GET
/default.ida?
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a HTTP/1.0
Content-type: text/xmlContent-length: 3379
기타 Firewall 이나 라우터의 로그를 점검하여 웹서버가 아닌 다른 시스템의 80번 포트
로 접속하는 로그를 점검한다. 이는 대부분 CodeRed 웜(또는 Nimda웜) 공격에 의해 발
생하는 로그일 가능성이 크다. 또한 백신프로그램으로 점검하면 Codered웜으로 탐지
되기도 하며,
시스템 루트디렉토리에 트로이목마 파일인 Explorer.exe 이 생성되기도 한다.
[피해증상]
사이트 내에 NT/2000 시스템이 많은 경우 네트워크 과부하로 인하여 접속이 느려질 수
있으며, 간혹 다운되는 증상이 발생할 수도 있다.
또한 해당 웜에 감염된 컴퓨터는 웜에 포함된 트로이목마 기능을 통해 원격에서 접속
할 수 있도록 레지스트리 값이 추가되고 C 드라이브나 D 드라이브의 파일에 접근 권한
을 가질 수 있게 된다.
* local file system 보안을 위한 기능을 비활성화 시키기 위해 레지스트리 값을 변경시
킴
HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\SFCDisable
* 웹브라우저를 통해 원격에 있는 공격자가 C드라이브나 D드라이브로 억세스 가능하
도록
레지스트리값 생성함
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual
Roots\/SCRIPT
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual
Roots\/MSADC
[감염시 치료방법]
백신으로 탐지되었을 경우에는 백신으로 치료후 보안패치를 적용한다.
o 보안 패치파일 : MS00-052, MS01-033, MS01-044
o 보안패치 (security bulletins) 파일 구할 수 있는 사이트
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/current.asp
웜의 전파속도가 빠르기 때문에 치료하는 과정에서도 감염될 수 있으므로
패치파일을 다운로드 받은 다음 네트워크 연결을 차단한 상태에서 IIS 구동을 중단하
고
패치 적용한 다음 시스템을 재부팅 하도록 한다.
(위 방법으로 치료가 안될 경우 참고자료를 이용해 수동으로 레지스트리 값을 수정하
여 복구)
[ 참고자료 ]
1) TruSecure Alert - TSA-03-004
http://www.trusecure.com/knowledge/hypeorhot/2003/tsa03004.shtml
2) 안철수연구소
http://home.ahnlab.com/smart2u/virus_detail_1128.html
3) KA-2001-043 - Buffer Overflow In IIS Indexing Service DLL
http://www.certcc.or.kr/advisory/ka2001/ka2001-043.txt
4) MS released security bulletin MS01-033
http://www.microsoft.com/korea/technet/security/bulletin/MS01-033.asp
5) 해킹피해시스템(Windows NT) 분석절차
http://www.certcc.or.kr/paper/tr2001/tr2001-03/Windows%20NT.html
6) CodeRed.v3, Symantec AntiVirus Research Center
http://www.sarc.com/avcenter/venc/data/pf/codered.v3.html
7) Cisco Security Advisory: "Code Red" Worm - Customer Impact
http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml
8) Cert Advisories & Incident Notes http://www.cert.org/incident_notes/IN-2001-10.html
9) 윈도우 NT서버 및 IIS 보안 관리
http://www.certcc.or.kr/paper/tr2000/2000-10/tr2000-10.html
---------------------
JaeSoon Kong, Staff of CERTCC-KR/KISA, Email: kong@certcc.or.kr
KOREA CERT Coordination Center/KOREA INFORMATION SECURITY AGENCY
5th FL., IT VentureTower 78, Garag-Dong, Songpa-gu,Seoul 138-803, Korea
Tel:+82-2-405-5085, Fax:02-405-5519
-------------------------------------------------------------------
* CERTCC-KR Security Incident Report and help desk Contact Points
