1. 발령일시 : 2003. 3. 10[02:00]
2. 바이러스 명칭 : WORM_DELODER.A
3. 경보 대상자 : Windows NT, 2000, XP
4. 조치요령

이 웜은 중국을 중심으로 급격하게 확산되고 있습니다. 네트워크 공유를 통해 전파되며, 감염되면 원격에서 접속이 가능하도록 백도어를 열어놓고, IRC Server로 접근을 시도합니다.

☆ 사전예방요령

불필요한 네트워크 공유는 해제하고 부득이한 경우, 읽기로만 공유하거나 쓰기 권한을 줄 때는 반드시 암호를 설정해야하고, 시스템 Administrator Password는 특수문자를 혼합하여 8자 이상으로 설정하여 운영한다.

☆ 개요
2003년 3월 9일 외국에서 처음 발견되었다. 네트워크 공유를 통해 전파되며, 아직 국내에 유입 유무는 확인되지 않았다. WORM_DELODER.A 웜바이러스에 감염되면 445 포트를 스캔하여 administrator 계정으로 접속을 시도하고, CNCERT(중국 CERT)에 의하면, 감염이 되면 원격에서 제어할 수 있는 백도어(5800 or 5900/TCP)를 열어놓고, 동시에 6667/TCP IRC Server에 접속을 시도한다.


☆ 전파방법
o 네트워크 공유로 전파


445/TCP 포트가 열려있는 시스템을 스캔한다.
445/TCP 포트가 열려있는 시스템의 Administrator Password가 다음과 같이 설정되어 있으면 침입하여 전파한다.


000000 / 00000000 / 111111 / 11111111 / 121212 / 123123 / 12345
123456 / 1234567 / 12345678 / 123456789 / 1234qwer / 123abc / 123asd
123qwe / 54321 / 654321 / 88888888 / abc123 / Admin / admin
admin123 / administrator / alpha / computer / database / enable
foobar / godblessyou / ihavenopass / Internet / Login / login
mypass / mypc123 / oracle / owner / passwd / Password / password
patrick / pw123 / secret / server / super / sybase / temp123
test123 / ypass123


☆ 다음과 같은 위치에 자신(Dvldr32.exe)을 복사하고 백도어 프로그램(inst.exe)를 복사하여 설치한다.

%sC$WINNTAll UsersStart MenuProgramsStartup
%sCWINDOWSStart MenuProgramsStartup
%sC$Documents and SettingsAll UsersStart MenuProgramsStartup
※ %s = 원격 시스템의 네트웍 이름

원격에서 제어할 수 있도록 5800 or 5900/TCP 포트를 열어 놓는다.
6667/TCP 포트를 이용하여 IRC Server로 접속을 시도한다.


☆ 피해증상
o 원격에서 접근할 수 있도록 백도어 프로그램(inst.exe)을 설치하여 5800 or 5900/TCP 포트를 열어놓는다.

o 다른 IRC Sserver로 접속(6667/TCP)을 시도한다.

o 재 부팅시 동작하기 위하여 자신을 시스템에 복사하고, 레지스트리 값에 등록한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
messnger = Dvldr32.exe



☆ 감염시 치료방법
다음 사이트에서 백신을 다운받아 최신 버전으로 업데이트 한 후 치료한다.

※ 트랜드마이크로 : //www.trendmicro.com/download/tsc.asp
※ 시만텍 : //www.symantec.com/downloads/


☆ 수동으로 치료하는 방법

CTRL+SHIFT+ESC를 동시에 눌러 [Windows 작업관리자]를 띄우고 [프로세스] 텝을 클릭한다.
Dvldr32.exe 프로세스를 찾아 선택하여 프로세스를 죽인다.
재부팅할 때 웜바이러스가 실행되는 것을 막기 위하여 레지스트리에 등록된 값을 제거한다. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 에서
messnger = Dvldr32.exe 를 삭제

Dvldr32.exe라는 파일명으로 검색하여 파일을 삭제한다.

※ 레지스트리실행방법
시작 > 실행 > 입력창에서 `REGEDIT`를 입력한 후 엔터를 누른다.


☆ 상세정보 사이트
□ 트랜드마이크로 : //www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_DELODER.A
□ 시만텍 : //securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deloder.html


From. ⓒWiNGhoST™(jgalgil@hotmail.com)
[최종 수정 시간 : 2003년 3월 10일 12시 50분]
[저작권은 WiNGhoST(성웅)와 PC사랑에게 있습니다. 수정 또는 배포할 수 없습니다.]

의견감추기 리스트보기 펼쳐보이기

1. 1. zero100.co.kr '03.3.12 7:31 AM 신고
   :-D*윈도우... 양날의 검인것 같습니다. 저도 웹서비스는 대부분 UNIX 계열로 하고 있지만, 클라이언트 환경에서 가져다주는 윈도우의 잇점에 점차 중독되어 갑니다.. ↓댓글에댓글

1. 1. :-D*윈도우... 양날의 검인것 같습니다. 저도 웹서비스는 대부분 UNIX 계열.. zero100.co.kr '03.3.12 7:31 AM