스크랩 웜바이러스 패치방법(인터넷 사용중 멈춤)

[깻잎(김혜정)]

현재 8월 14일 부터 시작된 웜바이러스 때문에 피해를 보고 있는 고객및  PC방이 속출하고 있습니다.

아래 증상과 해결방법을 알려드리겠습니다.

1. 상황
 - 2006년 08월 09일 윈도우 보안 공지 발령 <최대 심각도: 긴급>

    Microsoft 보안 공지 MS06-040
    서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 (921883)

 - 2006년 08월 14일 웜바이러스 활동 시작
    인터넷을 통해 들어온 웜바이러스가 PC방 내부 네트워크를 따라 감염 시키는 형태

2. 증상
 -  PC가 멈추는 현상 (재부팅 이후에 일시적으로 되다가 다시 멈춤)
 - (카운터 포함) PC의 인터넷 및 시스템의 속도가 느려지는 현상
 -  PC의 트래픽이 증가하는 현상
 - 인터넷이 끊기는 현상 (이 경우에는 애니웨어의 통신이 끊김)
 - 사운드 장치가 사라지는 현상
 - 랜카드 장치가 사라지는 증상

 - Generic Host Process for win32 services 에러 메세지가 나타나는 현상

3. 알려진 현상
ㅇ 특정 IRC(Internet Relay Chat) 서버에 접속을 시도한다.
ㅇ 특정 포트를 열고 인가되지 않은 외부의 접속에 대기할 수 있다.
ㅇ 웜이 시스템에서 실행될 수 있도록 레지스트리 값을 변경한다.
ㅇ 감염된 시스템의 보안설정을 변경한다.
ㅇ 윈도우 보안 취약점 공격으로 인해 급격한 트래픽이 유발 된다.

4. 해결방법
 - 1. 보유하고 있는 백신프로그램를 최신으로 업데이트하고 검사를 한다. 검사는 정밀진단을 하도록 한다.
 - 2. 윈도우 업데이트를 한다.
 - 3. MS06-040 다운로드 페이지 :  http://www.microsoft.com/korea/technet/security/bulletin/MS06-040.mspx
 - 4. [시스템 - 장치관리자] 에서 사운드, 랜카드가 정상적으로 작동하는지 확인

위의 방법으로 해결이 안될 경우
 - 1. 피씨를 포멧
 - 2. 랜카드를 뽑은 상태에서 윈도우 설치
 - 3. 백신프로그램 설치 -  실시간 감지
 - 4. 인터넷에 연결해 백신프로그램을 최신으로 다운 / 윈도우 업데이트를 받는다. 위의 MS06-040 의 패치도 받음
 - 5. 이후 기타 프로그램 설치 후 하드 대 하드 카피로 빠른 복구를 해야함

5. 주의할점
 - 현재 매장에 이상이 없더라도 보안패치는 꼭 받아야함
 - 전체 PC가 감염되어 있다면 네트워크로 바이러스가 침투하기 때문에 복원/복구는 랜선을 뽑고 진행
 - 복원/복구로 해결이 안될수 있음

6. 참고
PC방 특성 상 평소 윈도우 업데이트에 신경쓰지 못했던 매장에서 많은 손해가 났습니다.
현재 피해가 없더라도 백신프로그램을 최신버젼으로 업데이트 하시고, 윈도우 패치도 해주시기 바랍니다.
백신프로그램 중 "바이러스 체이서"는 애니웨어 클라이언트를 삭제할수도 있습니다. 그럴 경우 클라이언트를 재설치 해주시기 바랍니다.

감사합니다.

[젠틀핑퐁/장선]

하우리나 안철수 연구소에서 온라인으로 백신 구매하시고 PC 켤때마다 먼저 백신 최신 업데이트 하시고 바이러스 체크하는 습간을 드리세요. 많이 귀찮지만 악성 코드, 해킹 툴바, 애드 웨어 및 바이러스에 너무 많이 노출된 현 온라인 환경에선 사전 점검이 최고죠~~~