MS08-067 웜이 빠른 속도로 확산되고 있습니다. 예전에 발생하던 공격(링크1, 링크2, 링크3)은 은밀하고 특정 목표를 겨냥한 경향을 띄고 있었지만, 지금 확산되고 있는 웜은 대상을 가리지 않고 공격하고 있다는 점에서 다릅니다. 대규모 공격은 예상했던 것보다 늦게 시작되었네요. 벌써 패치 발표된지 1달이 지났죠?

진단명은 각각 다음과 같습니다.

해시 값과 파일 크기는 아래와 같습니다.

  • SHA1: 5815B13044FC9248BF7C2DBA771F0E6496D9E536
  • MD5: D9CB288F317124A0E63E3405ED290765
  • 파일 크기: 62,976 바이트

웜은 MS08-067 취약점을 익스플로잇한 다음, 1024에서 10000번 사이의 포트 중 하나를 골라서 웹 서버를 띄운다고 합니다. 그러면서 피해 컴퓨터의 공인 IP와 랜덤 포트로 구성된 URL을 공격자에게 넘겨주고, UPnP를 이용하여 방화벽 설정을 변경합니다. 그러면 공격자는 외부에서 이 URL로 접속하여 웜을 설치합니다. 보통은 특정 도메인에서 웜을 다운로드하도록 만드는데, 쉽게 차단하지 못하도록 반대로 해놓았습니다.

그 외에도 구글, 야후, MSN, 바이두 같은 사이트에서 현재 날짜를 얻어낸 다음, 이 날짜 정보를 토대로 랜덤한 도메인 목록을 만들어 추가적인 파일 다운로드에 이용한다고 합니다. 또, 취약한 API를 메모리 패칭해서 더 이상 감염되지 않도록 만들고, 시스템 복원이 불가능하도록 복원 지점을 삭제한다고 합니다.

MS08-067 취약점을 이용하는 봇(Backdoor:Win32/IRCbot.BH)도 발견되고 있다고 합니다.

혹시 아직도 보안 업데이트를 안 하셨다면 지금 당장 보안 업데이트를 설치하시기 바랍니다. KISC 카페에 올라온 글에 따르면 이미 국내에서도 피해가 확산되고 있다고 합니다.