오늘 모 지점에서 전화가 걸려왔습니다.
▶ 현상:
– 네이트온은 되는데.. 인터넷은 일체안된다.. 사내 인트라넷웹페이지마저도…
(이 pc는 보안패치되고있었고.. 시만텍안티바이러스 12월25일자까지 업데이트되어있었음)
▶ 확인:
– 해당 pc로 핑은 됨…
– 넷미팅으로 연결하려하였으나 바탕화면 공유불가능
– 다른방법으로 어찌어찌해서 원격으로 데스크탑에 연결…(비밀^^)
– ping에 의한 네트웍연결테스트 전혀이상없음
– nslookup에 의한 dns확인 : 이상없음.. 쿼리 이상무
– host파일 조사했으나 이상없었음
– 일체의 인터넷익스플로어로 인터넷하는것 불가능
– telnet 테스트: 80포트로 어떤 인터넷URL을 열려고할때 커넥션 실패
▶ 추측
– 80포트 연결을 방해하는 프로그램이 있을것이다…
▶ 조치
– 포트view가능한 tcpview.exe실행하여 조사
– wupdate라는 프로그램이 7474포트로 외부( )에 연결중인것 확인
– pskill로 프로세스 종료…
– 프로세스 종료하자마자 인터넷 사용에 문제가 없어졌음…
– 해당파일 삭제 (압축하여 시만텍에 메일로 전송-> 암호를 걸어압축해야함)
– 레지스트리에서 해당파일관련항목 삭제 (xp에선 msconfig만 실행해도 쉽게제거가능)
– 방화벽정책 추가: 7474포트 block, 69.64.36.189 아이피 block
– 놀랍게도 wupdate라는 파일은 시만텍안티바이러스 프로그램 폴더 내부에 위치하고있었답니다.
마치 시만텍업데이트 파일인것 처럼…..
-해당파일을 제가 사용하는 pc에서 일부러 실행해보았는데.. 실행파일은 없어지고 램에서만 가동…
시만텍이 있을경우에 디스크에 카피되든듯합니다… 트렌드오피스스캔도 역시 확인못하더군요..
– 따라서 트렌드에도 해당파일을 보냈습니다.
– wupdate란 파일은 메일에 의해 전파되는 웜종료인데.. 예전것에서 패턴이 좀 변형된듯합니다…
▶ 사후 진행상황
-트랜드에서 오늘오전에 임시패턴을 만들어 제공해주어서 오전에 배포하였으며 오후엔 새로운 정식패턴이 배포되어 해당 바이러스를 잘 치료하고있습니다.
– 근데 아직도 시만텍에선 연락이 없군요.. 시만텍안티바이러스사용하는 pc들은 계속 고생중입니다.
==========================================
안녕하세요? 트렌드마이크로입니다.
보내주신 wupdate.exe는 WORM_RBOT.BTQ로 확인되었으며,
임시 패턴 4.148.04부터 진단이 가능합니다.
아래의 내용을 참고하시기 바랍니다.
We analyzed the following file that you submitted and verified this to be malicious. Trend Micro will soon detect this malicious file as follows:
wupdate.exe_ (156,921 bytes) as WORM_RBOT.BTQ
We are glad to inform you that the detection for WORM_RBOT.BTQ is now available for
downloading using CPR 4.148.04.
=============================