[wupdate.exe] 인터넷방해하는 바이러스

.

오늘 모 지점에서 전화가 걸려왔습니다.

▶ 현상:
 
  – 네이트온은 되는데..  인터넷은 일체안된다.. 사내 인트라넷웹페이지마저도…
        (이 pc는 보안패치되고있었고.. 시만텍안티바이러스 12월25일자까지 업데이트되어있었음)

▶ 확인:
   
  – 해당 pc로 핑은 됨… 
        – 넷미팅으로 연결하려하였으나 바탕화면 공유불가능
        – 다른방법으로 어찌어찌해서 원격으로 데스크탑에 연결…(비밀^^)
        – ping에 의한 네트웍연결테스트 전혀이상없음
        – nslookup에 의한 dns확인 : 이상없음..  쿼리 이상무
        – host파일 조사했으나 이상없었음
        – 일체의 인터넷익스플로어로  인터넷하는것 불가능
        – telnet 테스트: 80포트로 어떤 인터넷URL을 열려고할때 커넥션 실패

▶ 추측
      – 80포트 연결을 방해하는 프로그램이 있을것이다…

▶ 조치
      – 포트view가능한 tcpview.exe실행하여 조사
       – wupdate라는 프로그램이 7474포트로  외부( )에 연결중인것 확인
       – pskill로 프로세스 종료…
       – 프로세스 종료하자마자 인터넷 사용에 문제가 없어졌음…
       – 해당파일 삭제 (압축하여 시만텍에 메일로 전송-> 암호를 걸어압축해야함)
      – 레지스트리에서 해당파일관련항목 삭제 (xp에선 msconfig만 실행해도 쉽게제거가능)
      – 방화벽정책 추가:  7474포트 block,     69.64.36.189 아이피 block
   
– 놀랍게도 wupdate라는 파일은 시만텍안티바이러스 프로그램 폴더 내부에 위치하고있었답니다.
마치 시만텍업데이트 파일인것 처럼…..

-해당파일을 제가 사용하는 pc에서 일부러 실행해보았는데.. 실행파일은 없어지고 램에서만 가동…
시만텍이 있을경우에 디스크에 카피되든듯합니다…   트렌드오피스스캔도 역시 확인못하더군요..
– 따라서 트렌드에도 해당파일을 보냈습니다.
wupdate란 파일은 메일에 의해 전파되는 웜종료인데.. 예전것에서 패턴이 좀 변형된듯합니다…
 
▶ 사후 진행상황
-트랜드에서 오늘오전에 임시패턴을 만들어 제공해주어서 오전에 배포하였으며  오후엔 새로운 정식패턴이 배포되어 해당 바이러스를 잘 치료하고있습니다.
– 근데 아직도 시만텍에선 연락이 없군요..  시만텍안티바이러스사용하는 pc들은 계속 고생중입니다.

==========================================

안녕하세요? 트렌드마이크로입니다.

보내주신 wupdate.exe WORM_RBOT.BTQ로 확인되었으며,

임시 패턴 4.148.04부터 진단이 가능합니다.

아래의 내용을 참고하시기 바랍니다.

We analyzed the following file that you submitted and verified this to be malicious. Trend Micro will soon detect this malicious file as follows:

wupdate.exe_ (156,921 bytes) as WORM_RBOT.BTQ

We are glad to inform you that the detection for WORM_RBOT.BTQ is now available for
downloading using CPR 4.148.04.
=============================


6 thoughts on “[wupdate.exe] 인터넷방해하는 바이러스

  1. 요즘은 이미 나온 바이러스도 변종으로 나타나면 체크가 잘 안됩니다… 요즘은 zero day 웜이 많습니다. 워낙 빨리 퍼지기때문에 백신업체들이 실시간 대응을 할수없죠.. 백신이란게 일단 바이러스가 활동하고 발견되어야 패턴제작이 가능하니까요… 거기다 변종이라도 나오면 사실상 새로운 바이러스라고 할수있기때문에 여간 어려운것이 아니지요..
    앞으론 바이러스냐 아니냐에서 한발 더 나아가서 어떤 행동패턴을 보이느냐를 감지해서 (원격의 호스트에 불법적으로 연결하고 시작프로그램에 말없이 등록되고 다른 컴터들을 공격하는 이련 형태의 행동유형을 감지해서) 해당 프로세스를 삭제하고 불법적으로 변경된 시스템사항을 복구하는 형태로 발전해야할것으로 보입니다. 물론 쉽지않겠지만..
    어찌보면 요즘은 패킷보는 프로램들과 방화벽로그를 확인하는 것이 가장 빨리 바이러스를 발견하는 길이더군요.. 웜의 행동패턴을 추적해보는것이죠.. 하지만 백신이 기본적으로 대부분의 바이러스를 잡아주어야합니다. 백신이 못잡는것만 관리자의 지속적인 관찰과 감독으로 잡아내야할것 같습니다… 백신이 너무 많은 바이러스를 놓지면 관리자는 뻗어버릴겁니다. ㅠㅠ
    결국 실력이라기보다는 노가다성 일이라고 할수도 있답니다. ㅋㅋ

  2. wupdate가 있다고해서 인터넷이 다 안된다는 이야기는 아닙니다…
    대부분의 pc는 인터넷이 느려지는 효과가 있는데..
    일부는 아예 안되기도 하더군요.
    가장 불안한것은 pc에서 불법적으로 수상한 사이트로 지속적으로 신호가 나간다는거죠… ^^

  3. 이게 시만텍의 취약점을 이용해서 퍼지는 웜입니다.
    SAVCE의 SYM 06-010 취약점을 이용하죠……..(w32.spybot.worm)
    이 악성코드는 2967/tcp 포트로 공격하는 특징을 가지고 있습니다.
    SYM 01-010 취약성 관련해서는 버전 별 Point Patch를 하거나,
    10.1.4.4000 이상으로 업그레이드 할 경우 안전합니다.

    • ^^ 원래는 freeware 및 IT knowledge를 정리하다 … 보안 쪽일을 하다보니 블로그가 색깔이 갈수록 애매해져서리.. 보안부문은 w-security.net 에 따로 정리하고 있답니다. ^^ 이곳은 freeware는 계속 올리고 여러가지 개인적으로 좋아하는 것들을 올리려고 하고있습니다. 두개를 하기 힘든게 최근 보안이야기 (w-security.net)위주로 정리하다 보니 이 jaewook.net엔 포스팅이 뜸해졌답니다. 부지런해야 될텐데… ㅠㅠ 도움이 되셨다면 좋겠네요… ^^

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.