대상:
모든 Windows XP 및 Windows Vista 사용자
Downadup 또는 Kido라고도 하는 Conficker 웜은 지금까지 수많은 시스템을 감염시켰습니다. 정확한 수치를 확인하기는 힘들지만 몇몇 조사 기관에서는 1월 이후 수백만 대의 시스템이 이 악성 코드에 감염된 것으로 추정하고 있습니다. 이러한 웜을 탐지하고 제거하는
Symantec Endpoint Protection
또는
Symantec AntiVirus
같은 제품을 사용한 시스템은 보호를 받고 있습니다. 시스템을 보호할 수 있는 제품이 필요하다면
Symantec Endpoint Protection 평가판
을 다운로드해 보시기 바랍니다. Network Threat Protection을 Symantec Endpoint Protection의 바이러스 차단 검사 기능과 함께 사용하여
위협 요소가 시스템에 다운로드되지 않도록 사전에 방지하는 것이 좋습니다.
새로운 변종, Downadup.E 출현
2009년 4월 8일에 새로운 변종이 발견되었습니다. 그에 따라 탐지 기능이 Rapid Release 정의에 일련 번호 93981(2009년 4월 8일 리비전 25), 이름 W32.Downadup으로 추가되었습니다. 보안 연구소에서는 이 변종에 Rapid Release 일련 번호 94023(2009년 4월 9일, 리비전 9)으로 시작되는 고유의 탐지 기능을 부여했습니다. 초기 분석을 통해 이 변종이 원래 W32.Downadup 유형과 유사하게 작동한다는 사실을 확인했습니다.
Symantec 블로그에서 언급했듯이 이 새로운 변종은
W32.Waledac을 전파하는 것으로 보입니다. 이 W32.Waledac 샘플에 대한 탐지 기능이 Rapid Release 정의에 일련 번호 93978(2009년 4월 8일 22)로 추가되었습니다. 이 위협 요소의 작동 방식에 대한 자세한 내용은
W32.Downadup.E의 보안 연구소 게시물을 참조하십시오.
Downadup.C와 4월 1일
이 위협 요소의 새로운 변종은 특히 이전에 감염된 시스템에서 웜의 기능을 증폭시키는 역할을 합니다. W32.Downadup의 이전 변종에 감염되어 있는 시스템은 W32.Downadup.C의 사본을 다운로드하여 기존 웜의 성능을 증폭시킵니다. Downadup 이전 버전의 작동 방식에 대한 자세한 내용은 이 문서의 아래쪽에서 설명합니다.
Downadup.C의 주요 기능:
- 도메인 명령 및 제어 기능 확장. W32.Downadup(.B)의 원래 변종은 매일 250개 도메인을 대상으로 컨트롤러에서 전송되는 새로운 페이로드를 확인합니다. 반면 새로운 변종에는 감염된 Downadup.C마다 총 50,000개의 무작위 도메인 중 매일 500개를 무작위로 확인하는 업데이트된 알고리즘이 포함되어 있습니다. 따라서 보안 회사에서 도메인을 모두 모니터링하기가 어렵습니다. 한편으로, 공격자가 50,000개 사이트 모두에 공격 코드를 게시하기는 사실상 불가능하므로 공격자가 추가 "공격 명령"을 배포하기도 어렵습니다. 감염된 Downadup.C는 2009년 4월 1일까지 이러한 웹 사이트에 대한 접촉을 시작하지 않습니다.
- 새로운 탐지 차단 수단 도입. 새로운 변종에는 실행 중인 프로세스를 검색하는 문자열 목록이 포함되어 있습니다. 그리고 목록의 문자열과 일치하는 프로세스가 발견되면 해당 프로세스를 중지시킵니다. 이러한 문자열은 바이러스 차단 프로세스와 디버깅 도구를 중지하기 위한 수단입니다. 검색하는 문자열에는 "wireshark", "confick", "downad", "ms08-06", "kb958" 등이 있습니다.
Downadup의 이전 버전은 다음 3가지 방법으로 확산됩니다.
공격 경로 1: Windows 취약점 공격
Downadup은 Windows의 특정 취약점을 공격하여 시스템을 감염시킬 수 있습니다. Microsoft는 2008년 10월에 이러한 취약점을 발표하면서 패치를 배포했습니다. 그러나 아직 Microsoft에서 제공한 패치를 설치하지 않은 Windows 사용자가 많습니다. 이 패치를 설치하지 않은 사용자는 Downadup의 공격에 노출될 수 있습니다. 패치를 설치하지 않은 시스템은 감염된 시스템이 하나라도 있는 네트워크에 연결하기만 하면 쉽게 Downadup에 감염됩니다. Microsoft 패치를 적용한 시스템은 이 공격 방법으로는 감염되지 않습니다.
공격 경로 2: 드라이브 공유
회사에서는 많은 사람이 Windows "드라이브 공유" 기능을 사용하여 동료와 파일을 공유합니다. 드라이브 공유는 다른 사용자가 자신의 하드 드라이브에 직접 연결하여 파일을 복사하거나 편집할 수 있도록 하는 기능입니다. Downadup은 이러한 Windows 드라이브 공유 기능을 악용합니다. 회사의 시스템이 Downadup에 감염되면 Downadup은 회사 네트워크의 다른 시스템에서 열려 있고 연결 가능한 모든 드라이브 공유를 찾아 자신을 복사합니다.
공격 경로 3: USB
드라이브
Downadup은 시스템에 연결된 USB 드라이브(예: 썸 드라이브)로 전파될 수도 있습니다. 사용자의 시스템이 Downadup에 감염된 상태에서 사용자가 USB 키를 시스템에 꽂으면 Downadup은 자동으로 USB 드라이브에 자신을 복사합니다. 이렇게 감염된 USB 드라이브를 다른 시스템에 꽂으면 USB 드라이브에서 Downadup이 자동으로 실행되어 해당 시스템까지 감염시킵니다.
보호 상세 정보(보호 여부)
2009년 3월 6일자 리비전 36 이상의 바이러스 정의로 업데이트된 Symantec Corporate 바이러스 차단 제품(Symantec AntiVirus 또는 Symantec Endpoint Protection)이나 Norton AntiVirus 제품(Norton Internet Security, Norton AntiVirus 또는 Norton 360)을 사용한다면 이 웜으로부터 시스템이 보호되고 있는 것입니다. 다음 Symantec 게시물에서는 현재 알려진 변종을 즉각적으로 차단하는 시그니처에 대해 설명합니다.
Symantec 침입 차단 시스템은 다음 시그니처를 사용하여 이 위협 요소로부터 고객을 보호합니다.
사용할 수 있는 다른 보호 방법
- 공개적으로 제공되는 Windows 패치를 설치하십시오.
- Symantec 침입 차단 시스템을 사용하여 알려진 취약점을 악용하려는 시도를 차단하십시오. (이 위협 요소의 초기 공격 경로로 이용된 MS08-067을 통한 공격은 침입 차단 기능을 통해 차단할 수 있습니다.)
- Symantec Endpoint Protection 정책을 적용하여 USB 드라이브에 대한 액세스를 제한하고 autorun.inf 파일을 실행 중지하십시오. USB 드라이브나 autorun.inf 파일은 새로운 위협 요소를 확산시키는 공격 경로로 많이 이용됩니다.
상세한 Symantec 보안 제품 정보
Symantec 클라이언트 보안 제품에는 두 가지 기본적인 Downadup 차단 기능이 있습니다.
- 네트워크 기반 보호 기능
Symantec Corporate 제품(Symantec Endpoint Protection 및 Symantec Client Security)과 Norton 제품(Norton AntiVirus, Norton Internet Security 및 Norton 360)에는 "침입 차단 시스템" 내지는 "IPS"라고 불리는 기술이 포함되어 있습니다. 이는 각각의 클라이언트 시스템에서 주고받는 네트워크 트래픽을 모니터링하는 기술입니다. IPS 기술은 시스템으로 들어오는 모든 네트워크 데이터를 검사하여 Microsoft 취약점(Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability(원격 코드 실행을 처리하는 Microsoft Windows Server Service RPC의 취약점))을 악용할 소지가 있는 의심스러운 전송을 차단함으로써 애초에 Downadup이 시스템에 침입하지 못하도록 합니다. Symantec IPS 보호 기능은 열려 있는 드라이브 공유(위에서 설명한 "공격 경로 2")를 이용하여 시스템 간에 자신을 복사하려는 Downadup의 시도도 차단합니다.
Symantec IPS 보호 기능은 시스템에 패치가 적용되지 않았더라도 애초에 이 위협 요소의 침입을 차단하기 때문에 이 위협 요소에 대한 보호 성능을 크게 높입니다. Symantec AntiVirus 제품에는 IPS 기술이 포함되어 있지 않습니다.
- 바이러스 차단 기능
Symantec의 모든 클라이언트 보안 제품(Symantec Endpoint Protection, Symantec AntiVirus 및 Symantec Client Security)에는 Downadup에 대한 바이러스 차단 시그니처가 포함되어 있습니다. Symantec 바이러스 차단 시그니처만으로도 충분히 Downadup의 여러 가지 변종을 자동으로 탐지할 수 있습니다.
- Symantec Endpoint Protection의 USB 보호 기능
Symantec Endpoint Protection에는 USB 키를 시스템에 꽂았을 때 USB 키에 있는 프로그램이 자동으로 실행되지 않도록 하는 기능이 포함되어 있습니다. 자세한 내용은 이 주제를 다루고 있는 다음 기술 자료 문서를 참조하십시오.
조치: 시스템이 감염된 경우
- 복구 도구 사용
Symantec은 Downadup, Downadup.B 및 Downadup.C에 감염된 고객을 위해 독립 실행형 제거 도구를 제공하고 있습니다.
- Downadup의 도메인 차단 실행 중지
Downadup은 감염된 시스템에서 www.symantec.com 같은 보안 웹 사이트에 대한 연결을 차단할 수 있습니다. 이 동작을 무력화하려면 시작 > 실행을 누르고 다음을 입력하십시오.
net stop dnscache
이렇게 하면 차단 기능이 실행 중지되어 보안 공급업체의 웹 사이트에 연결할 수 있게 됩니다.
Symantec 권장 사항
Symantec Endpoint Protection ,
Symantec Multi-tier Protection 또는
Symantec Multi-Tier Protection Small Business Edition을 실행하여 종점을 이 위협 요소로부터 보호하십시오.
또한
SymConnect 포럼에서 Downadup에 대한 정보나 개발한 소프트웨어를 다른 사용자와 공유할 수도 있습니다.
Symantec의
멀웨어 블로그에서 Downadup과 기타 악성 프로그램에 대한 블로그를 참조할 수 있습니다.
귀하의 의견에 감사드립니다. 추가 의견이 있으시면 아래에 작성해 주십시오. (로그인 필요)