바로가기
메인메뉴로 바로가기
서브메뉴 바로가기
콘텐츠 바로가기
하단메뉴로 바로가기

새소식공지사항

Sasser worm 변종 확산에 주의하세요. 등록자 : 운영자 / 등록일 : 2004.05.04 pm 12:01:12 / 조회수 : 4722
안철수연구소에서 제공하는 내용입니다. 참고하셔서 Sasser worm 으로 인한 피해가 없으시기를 바랍니다.

2004년 4월 30일(외국시각) 발견된 Win32/Sasser.worm(새서 웜) 의 공격으로 인해 특정 OS가 종료되면서 재부팅되는 현상이 발생하고 있어, 고객님의 주의가 필요합니다.

1. Sasser 웜 증상

- 윈도우 폴더에 avserve.exe 혹은 avserve2.exe, skynetave.exe 파일이 만들어 진다.
- TCP 445번 포트 접속 시도가 증가한다.
- TCP 1000번~2000번대와 5554번 포트가 LISTENING 상태로 된다.
- 윈도우시스템 폴더에 파일 이름이 숫자_up.exe로 된 다수의 파일이 만들어 진다.
- 감염 후 일정 시간이 지나면 CPU 사용이 100%까지 올라가며 컴퓨터 속도가 느려진다.
- 보안패치가 안 된 시스템이 공격 패킷을 받을 경우 에러가 발생하며 시스템이 자동 종료 될 수 있다.

2. LSASS 취약점으로 인한 공격차단기능이 포함된 Win32/Sasser.worm 전용백신

안철수연구소에서는 LSASS 취약점(MS04-011)을 이용한 공격으로 인해 시스템이 재부팅되는 현상을 방지하기 위해 LSASS 취약점 공격 패킷을 차단하고 이를 이용한 Win32/Sasser.worm 전용백신을 제작하여 배포하고 있습니다.

LSASS.EXE 에러가 발생하면서 시스템이 종료되는 현상이 나타나는 고객님은 아래와 같은 방법으로 조치하시기 바랍니다.

① V3 FirstBlock for Win32/Sasser.worm를 다운로드한다.

  V3 FirstBlock for Win32/Sasser.worm 다운로드    

② 다운로드한 v3sasser.exe 파일을 실행하고 '검사시작' 버튼을 누른다. (공격 패킷은 실행과 동시에 차단되므로 별도의 조치는 하지 않아도 된다.)
* 만약 V3 FirstBlock for Win32/Sasser.worm 를 실행하기전에 공격을 받아 재부팅 메시지가 나온다면 랜 케이블을 잠시 뽑고 시스템이 재부팅 된 후 V3 FirstBlock for Win32/Sasser.worm 를 실행 하고 다시 랜 케이블을 연결한다.

③ V3 FirstBlock for Win32/Sasser.worm 가 실행된 상태에서 자신의 OS 에 맞는 MS04-011 패치파일을 다운로드하여 실행한다.

④ 시스템을 재부팅한다.

[패치 다운로드 안내]
안철수연구소 홈페이지 방문하여 다운로드 받으시기 바랍니다.