[알약전용백신] V.WOM.Conficker 전용백신

최근 Conficker 중복감염 증상이 나타나고 있습니다. MS08-067 취약점을 이용한 V.WOM.Conficker(Bitdefender 진단명 : Win32.Worm.Downadup.Gen)악성코드가 USB와 네트워크를 통해 다시 점차 확산되고 있습니다.
V.WOM.Conficker 악성코드는 다른 추가적인 악성코드를 다운로드 받아 설치하고 인터넷 속도 저하 혹은 장애 현상을 가져올 수 있으므로 PC 예방 조치를 필수적으로 시행해야 합니다.

[감염 현상]
1) 계정 잠금 정책이 실행됩니다.
2) 자동 업데이트, BITS(Background Intelligent Transfer Service),Windows Defender 및 오류 보고 서비스가 사용되지 않게 설정되어 있습니다.
3) 도메인 컨트롤러가 클라이언트 요청에 느리게 응답합니다.
4) 다양한 보안 관련 웹 사이트에 액세스할 수 없습니다.
5) 보안 패치가 되지 않은 PC를 원격지점에서 공격자가 통제하도록 할 수 있는 권한을 부여합니다
6) 다른 악성코드를 추가적으로 다운로드하는 등 추가적인 감염을 위해 과도하게 패킷을 발송하여 인터넷 속도를 저하시키거나 인터넷 연결 장애 현상을 초래합니다
[전파 방법]
1) 보안 업데이트 958644(MS08-067)에 의해 패치되는 취약성 이용
2) 네트워크 공유 사용
3) 자동 재생 기능 사용
위의 방법으로 전파되므로 네트위크를 정리할 때는 이전에 정리한 시스템에 위험요소가 다시 침투되지않도록 주의해야 합니다.
[예방 방법]
1. MS08-067취약점에 대한 보안패치를 업데이트합니다.
Microsoft MS08-067 취약점 정보
2. 알약의 DB업데이트를 최신으로 유지하고, 실시간 감시 수준을 높음으로 설정합니다.
3. USB(이동식 저장장치)의 자동실행(Autorun)을 통한 감염을 막기위해 USB 자동 실행을 차단하고, 현재 사용중인 공유 폴더 설정 해제를 권장합니다.
USB 자동실행 차단 툴 다운로드
※ 자동실행 차단 버튼을 누르면 autorun.inf를 통한 USB(이동식 저장장치)의 자동실행 기능이 차단됩니다.
4. 윈도우 사용자계정에 문자+숫자, 6자리 이상의 암호를 설정해 주세요.
PC에 암호가 없거나 너무 쉬우면 근처에 있는 다른 감염된 컴퓨터에서 원격으로 악성코드를 설치할 수 있습니다.
※ 윈도우 제어판 - ‘사용자 계정’을 실행하시면 암호를 설정하는 메뉴가 나타납니다.
- 기타 추가 조치 사항
기업의 네트워크나 보안 관리자께서는 방화벽이나 IPS에서 TCP 139, 445번 포트 차단을 권장합니다.
※ V.WOM.Conficker 전용 백신을 실행하면 자동으로 시스템을 검사/치료하고 창이 사라집니다.
해당 악성코드의 변종 발생 가능성이 높으므로, 전용백신으로 치료해도 같은 증상이 반복해서 나타나는
경우 알약 프로그램의 신고하기 메뉴를 통해 혹은 알약 고객센터를 통해 신고를 부탁드립니다.