포맷 후 윈도우xp설치하고 웜바이러스 예방법...

[코스모스]

W32.Sasser 웜 대응방법

1. 증상
증상 1) CPU 사용율이 100%로 증가하여 컴퓨터 속도가 느려진다.
2) 시스템이 자동 종료 및 리부팅 된다.
　
2. 전파 방법
MS사의 윈도우즈의 LSASS(Local security Authority Subsystem Service) 취약점을 이용하여 전파된다.(자세한 내용은 MS 보안 게시판 MS04-011 참조)
　
3. 해결 방법(웜삭제 방법)
1) W32.Sasser웜에 현재 감염되어 있는 PC에서는 먼저, 인터넷 연결선을 제거합니다.

2) 시스템을 재시작합니다. 재시작 중에 문제가 생기면, 부팅시 F8키를 눌러서 안전모드로 부팅합니다.

3) 웜 프로세스를 삭제합니다. 윈도우 작업 관리자를 실행하기 위해서 'CTRL, ALT, DELETE'키를 동시에 누른 후, '프로세스'를 선택 합니다.

4) 'avserve.exe', '숫자_UP.exe'를 하나씩 선택한 후, '프로세스 끝내기'를 클릭합니다.

5) '검색' 메뉴를 선택하여, 다음 파일을 찾아서 모두 삭제합니다.

- C:\WINDOWS\avserve.exe
- C:\WINDOWS\system32\*_up.exe

'시작'- '검색'을 선택하여 검색창을 실행후, '모든 파일 및 폴더'를 선택합니다.
'전체 또는 일부 파일 이름'에 C:\WINDOWS\avserve.exe, C:\WINDOWS\system32\*_up.exe 를 각각 입력후, 검색을 하여, 발견된 파일을 삭제합니다.

6) '시작' 메뉴에서 '실행'을 선택하고, regedit.exe를 입력 후, '확인'을 누릅니다.

7) "레지스트리 편집기"에서 다음 레지스트리 키를 선택하여 삭제합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe

8) 인터넷 연결선을 PC에 연결합니다.

9) 보안 업데이트 다운로드 위치에서, 현재 PC에 설치되어 있는 운영체제 종류에 해당하는 업데이트 파일을 다운로드 합니다.

MS 보안 게시판 MS04-011

10) 위의 보안 업데이트는 이 글의 맨아래 주소에서 다운받을수 있습니다.

참고)
W32.Sasser 웜을 방어하는 패치가 설치되어 있는지를 확인하려면, '시작'-'제어판'-'프로그램 추가 삭제'로 가셔서, 'Windows XP 핫 픽스- KB835732'가 설치되어 있는지를 확인하면 됩니다. 해당 패치가 설치되어 있는 PC는 이 문서에서 설명한 웜에 대해서는 방어가 되어있는 상태입니다.
　
출처:http://hyuncomputer.com/bbs/zboard.php?id=news

4.백신다운로드(바이러스 치료)

아래는 안철수 바이러스 연구소에 등록된 공문입니다

2004년 4월 30일(외국시각) 발견된 Win32/Sasser.worm(새서 웜) 의 공격으로 인해 특정 OS가 종료되면서 재부팅되는 현상이 발생하고 있어, 고객님의 주의가 필요합니다.

1. Sasser 웜 증상

- 윈도우 폴더에 avserve.exe 혹은 avserve2.exe, skynetave.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치가 안 된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다.

2. LSASS 취약점으로 인한 공격차단기능이 포함된 Win32/Sasser.worm 전용백신

안철수연구소에서는 LSASS 취약점(MS04-011)을 이용한 공격으로 인해 시스템이 재부팅되는 현상을 방지하기 위해 LSASS 취약점 공격 패킷을 차단하고 이를 이용한 Win32/Sasser.worm 전용백신을 제작하여 배포하고 있습니다.

LSASS.EXE 에러가 발생하면서 시스템이 종료되는 현상이 나타나는 고객님은 아래와 같은 방법으로 조치하시기 바랍니다.

① V3 FirstBlock for Win32/Sasser.worm를 다운로드한다.

V3 FirstBlock for Win32/Sasser.worm 다운로드

② 다운로드한 v3sasser.exe 파일을 실행하고 '검사시작' 버튼을 누른다. (공격 패킷은 실행과 동시에 차단되므로 별도의 조치는 하지 않아도 된다.)
* 만약 V3 FirstBlock for Win32/Sasser.worm 를 실행하기전에 공격을 받아 재부팅 메시지가 나온다면 랜 케이블을 잠시 뽑고 시스템이 재부팅 된 후 V3 FirstBlock for Win32/Sasser.worm 를 실행 하고 다시 랜 케이블을 연결한다.

③ V3 FirstBlock for Win32/Sasser.worm 가 실행된 상태에서 자신의 OS 에 맞는 MS04-011 패치파일을 다운로드하여 실행한다.

④ 시스템을 재부팅한다.

백신다운주소:http://download.ahnlab.com/vaccine/v3sasser.exe

보안패치다운주소:http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp

re: 포맷 후 윈도우xp설치하고 웜바이러스 예방법...

우선 웜바이러스 패치는 http://zpop.org/data/WindowsXP-KB823980-x86-KOR.exe 여기 복사해서 받으시구요. 패치는 익스플로러 창에서 도구 탭을 누르면 윈도우 업데이트가 있습니다. 누르시면 거기에서 다 패치하실 필요는 없고 보안패치는 다 해주세요.