[KB2209] Conficker - 자신을 보호하려면 어떻게 해야 하나요?

이슈

솔루션

감염 예방

A- Microsoft 보안 패치 다운로드

• Microsoft 보안 게시판 MS08-067 - 심각 - 서버 서비스의 취약점으로 인해 원격 코드 실행이 허용될 수 있음

• Microsoft 보안 게시판 MS08-068 - 중요 - SMB의 취약점으로 인해 원격 코드 실행이 허용될 수 있음

• Microsoft 보안 게시판 MS09-001 - 중요 - SMB의 취약점으로 인해 원격 코드 실행이 허용될 수 있음

B - 자동 실행 및 자동 재생 사용 안 함(Windows XP 및 Windows Vista)

악성 소프트웨어 제작자가 이러한 보안 결함을 악용하는 것을 방지하려면 Windows 시스템에서 자동 실행 및 자동 재생 기능을 비활성화해야 할 수 있습니다. 컴퓨터에 연결할 때마다(기본적으로) 자동 실행/자동 재생 기능에 의해 액세스되는 USB 드라이브 및 기타 이동식 미디어는 요즘 가장 자주 사용되는 바이러스 매개체입니다.

Microsoft Windows 자동 실행 및 자동 재생은 처음에는 (i) Autorun.inf 파일(및 여기에 포함된 모든 가능한 악성 지침)을 자동으로 실행하여 CD 콘텐츠 실행을 단순화하기 위한 기능으로, 자동 실행 취약점(ii) 사용 가능한 작업이 있는 팝업 창 열기(일부는 악성 Autorun.inf에서 가져온 적대적인 트리거일 수 있음) - 자동 재생 취약점입니다

1. 자동 실행 및 자동 재생을 비활성화하려면 이 링크를 마우스 오른쪽 버튼으로 클릭하여 DisableAutorun.reg 파일을 다운로드하고 다른 이름으로 링크 저장을 선택합니다 .
   
2. 다른 이름으로 저장 창에서 다음을 확인합니다:
   
   (i) 다른 이름으로 저장 유형 드롭다운 메뉴가 모든 파일 또는 등록 항목(*.reg )(또는 브라우저에 따라 유사)으로 설정되어 있는지 확인합니다
   
   (ii) 파일 이름 필드에 레지스트리 파일의 정확한 이름(예: DisableAutorun.reg)이 포함되어 있는지 확인합니다
   
3. 저장을 클릭합니다. 레지스트리 파일을 저장하라는 메시지가 표시되면 확인합니다.
   
4. 저장된 파일을 두 번 클릭하고 예를 클릭하여 레지스트리 항목 추가를 확인합니다. 확인을 클릭하여 완료합니다.

B2 - 자동 실행 및 자동 재생을 다시 활성화하는 방법(Windows XP 및 Windows Vista)

위 섹션 B의 지침에 따라 변경한 내용을 취소해야 하는 경우 이 링크를 마우스 오른쪽 버튼으로 클릭하여 ReenableAutorun.reg 파일을 다운로드하고 이번에는 ReenableAutorun.reg 파일만 사용하여 위 섹션 B의 지침을 반복합니다.

청소 단계(단일 컴퓨터)

1. 감염된 컴퓨터를 네트워크와 인터넷에서 분리하세요.

2. 감염되지 않은 PC를 사용하여 위 섹션 A의 각 Windows 패치를 다운로드합니다. 모든 패치를 설치합니다.

3. 시스템 비밀번호를 관리자 계정으로 재설정하고 보다 정교한 비밀번호를 사용합니다. 공유 폴더를 통해 침입이 확산될 수 있다는 점에 유의하세요.

   (i.) CTRL+ALT+DELETE를 누른 다음 비밀번호 변경...을 클릭합니다 .

   (ii.) 이전 비밀번호를 입력하고, 새 비밀번호를 입력하고, 새 비밀번호를 다시 입력하여 확인한 다음 Enter 키를 누릅니다.

4. 웜을 제거할 일회성 ESET 애플리케이션을 다운로드합니다(감염되지 않은 PC를 사용하여 다시 다운로드). ESET 제품(3.0 이상)이 설치되어 있지 않은 경우, 감염되지 않은 PC를 사용하여 무료 독립 실행형 클리너를 다운로드하여 실행할 수 있습니다:

   • ESET Conficker 제거 도구

5. 최신 버전의 ESET 소프트웨어를다운로드하여 설치합니다.

6. 바이러스 시그니처 데이터베이스 업데이트.

독립 실행형 클리너가 Conficker 위협을 제거했는지 확인하려면 독립 실행형 클리너를 다시 실행한 다음 ESET 제품으로 스캔을 실행하세요.

ESET 독립 실행형 클리너를 성공적으로 실행한 후 다음 Microsoft 문서를 읽고 중요한 보안 패치 및 권장 그룹 변경에 대한 정보를 확인하는 것이 좋습니다:

• http://support.microsoft.com/kb/962007

향후 위협으로부터 최대한 보호하려면 Microsoft의 권장 사항에 따라 운영 체제가 패치되어 있고 ESET 제품이 최신 상태인지 확인하세요.

치료 단계(네트워크)

1. 모든 Windows 업데이트를 다운로드하고 싶지는 않지만 최소한 Win32/Conficker 위협으로부터 보호받고 싶다면 다음 Microsoft 보안 게시판에 있는 패치(KB958644, KB957097 및 KB958687)를 다운로드하여 네트워크의 모든 컴퓨터에 설치하세요:
   

   Windows 7 및 Server 2008에는 패치가 필요하지 않습니다

   Conficker가 사용하는 익스플로잇은 이러한 운영 체제에 존재하지 않으므로 Windows 7 또는 Server 2008 r2에는 아래 패치가 필요하지 않습니다. 그러나 Microsoft Windows Server 2008에는 아래 패치가 필요합니다 .

   • Microsoft 보안 게시판 MS08-067 - 심각 - 서버 서비스의 취약점으로 인해 원격 코드 실행이 허용될 수 있음
   
   
   • Microsoft 보안 게시판 MS08-068 - 중요 - SMB의 취약점으로 인해 원격 코드 실행이 허용될 수 있음
   
   
   • Microsoft 보안 게시판 MS09-001 - 중요 - SMB의 취약점으로 인해 원격 코드 실행이 허용될 수 있음
2. 모든 시스템에 ESET 보안 솔루션을 설치하고 업데이트하세요
   • 서버에 ESET NOD32 안티바이러스 비즈니스 에디션 다운로드 및 설치 방법(4.x)'
   
   
   • ESET Smart Security/ESET NOD32 Antivirus가 올바르게 업데이트되고 있는지 어떻게 알 수 있나요?'
3. Conficker가 이미 기록했거나 무차별 대입으로 알아낸 비밀번호를 사용하므로 네트워크의 모든 비밀번호를 변경하세요.

4. 각 컴퓨터에서 ESET Conficker 제거 도구를 실행하세요:

   • ESET Conficker 제거 도구
5. 클라이언트에서 다음 명령을 사용하여 Win32/Conficker가 생성한 예약된 작업을 모두 제거합니다:
   
   at /삭제 /예

위의 단계로 문제가 해결되지 않으면 모든 비밀번호를 재설정하고 다음 단계를 수행하여 여전히 감염 확산을 시도하는 컴퓨터를 식별하세요:

6. 실패한 로그온 이벤트 감사를 켭니다:

   1. 도메인 컨트롤러에서 시작 → 관리 도구 → 도메인 제어 보안 정책을 클릭합니다.

   2. 보안 설정 → 로컬 정책 → 감사 정책 → 로그온 이벤트 감사로 이동합니다.

   1. 3. 로그온 이벤트 감사가 모든 성공 및 실패 이벤트를 기록하도록 설정되어 있는지 확인합니다.

7. 도메인 컨트롤러의 보안 이벤트 로그에서 이벤트 ID가 529인지 모니터링합니다(529 이벤트가 발생하지 않는다면 Win32/Conficker가 올바른 관리 비밀번호를 사용하고 있는 것이므로 비밀번호를 변경해야 합니다).
   
8. 이벤트의 속성을 볼 때 "워크스테이션 이름"을 볼 수 있습니다. 이것은 다른 컴퓨터를 감염시키려는 범인 또는 범인 중 하나입니다.
   
9. 식별된 클라이언트로 이동하여 위의 1~5단계를 반복합니다.

위의 정리 단계(네트워크) 단계를 완료한 후에는 모든 관리자 비밀번호를 다시 변경하여 Conficker에 이러한 비밀번호가 없는지 확인해야 합니다. 모든 시스템을 패치한 후에도 Conficker가 여전히 위협을 표시하는 경우, 아직 패치되지 않은 시스템이 남아 있거나 ESET이 시스템에 설치 및 업데이트되지 않은 것입니다.

#@#플레이스홀더 id='1282' 언어='1'#@#