Blaster 웜 및 그 변종에 대한 바이러스 경고
2004.02.01 18:38
가져온곳 마이크로소프트사
Blaster 웜 및 그 변종에 대한 바이러스 경고
적용 대상
요약
2003년 8월 11일 Microsoft는 Microsoft 고객 기술지원부(PSS)에서 보고한 웜에 대한 조사를 시작했으며 Microsoft PSS 보안 팀은 고객에게 새로운 웜에 대한 정보를 제공하기 위해 경고문을 발표했습니다. 웜은 일반적으로 사용자 동작 없이 확산되고 인터넷과 같은 네트워크를 통해 자신의 완전한 복사본(수정될 수도 있음)을 배포하는 일종의 컴퓨터 바이러스입니다. 일반적으로 "Blaster"로 알려진 이 새로운 웜은 Microsoft 보안 게시판 MS03-026(823980)에서 설명한 취약점을 악용하여 본 문서의 시작 부분에서 나열한 제품을 실행하는 컴퓨터의 열려 있는 원격 프로시저 호출(RPC) 포트를 사용함으로써 네트워크를 통해 스스로 확산됩니다.
이 문서는 네트워크 관리자와 IT 전문가가 Blaster 웜 및 그 변종에 감염되지 않는 방법과 감염으로부터 복구하는 방법에 대한 정보를 포함하고 있습니다. 웜 및 변종은 W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E(Symantec), W32/Lovsan.worm(McAfee), WORM_MSBLAST.A(Trendmicro) 및 Win32.Posa.Worm(Computer Associates)으로도 알려져 있습니다. 이 웜으로부터 복구하는 방법에 대한 자세한 내용은 바이러스 백신 소프트웨어 공급업체에 문의하십시오. 바이러스 백신 소프트웨어 공급업체에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
49500 바이러스 백신 소프트웨어 공급업체 목록
개인 사용자의 경우 컴퓨터를 보호하고 컴퓨터가 Blaster 웜에 감염되었을 때 복구하는 단계는 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/security/incident/blast.asp
823980 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
Blaster 웜과 유사하며 Microsoft 보안 게시판 MS03-026(823980)과 MS03-007(815021)에서 설명하는 취약점을 악용하는 웜에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
826234 Nachi 웜에 대한 바이러스 경고
참고
Blaster 웜이 발견된 날짜인 2003년 8월 11일 이전에 823980 보안 패치(MS03-026)를 설치한 경우 사용 중인 컴퓨터는 이 웜에 취약하지 않습니다. 2003년 8월 11일 이전에 823980 보안 패치(MS03-026)를 설치한 경우 다른 조치를 취할 필요가 없습니다.
Microsoft는 Microsoft 보안 게시판 MS03-026(823980)에서 설명하는 취약점의 영향을 받는지 평가하기 위해 Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP 및 Windows Server 2003을 테스트했습니다. Windows Millennium Edition에는 이 취약점과 관련된 기능이 없습니다. Windows Me 이전 버전은 더 이상 지원되지 않으므로 이 취약점에 영향을 받을 수도 있고 받지 않을 수도 있습니다. Microsoft Support Life Cycle에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://support.microsoft.com/default.aspx?scid=fh;ko;lifecycle
이러한 취약점과 관련된 기능은 DCOM이 설치되어 있다고 해도 Windows 95, Windows 98 또는 Windows 98 Second Edition에는 포함되어 있지 않습니다. 이러한 Windows 버전을 사용 중인 경우에는 별도의 조치를 취할 필요가 없습니다.
추가 정보
감염 현상
컴퓨터가 이 웜에 감염된 경우 어떠한 현상도 발생하지 않거나 다음 현상이 발생할 수 있습니다.
다음과 같은 오류 메시지가 나타날 수 있습니다.
원격 프로시저 호출(RPC) 서비스가 예기치 않게 중단되었습니다.
시스템을 종료하고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오.
저장하지 않은 모든 변경된 내용은 손실됩니다.
시스템 종료는 NT AUTHORITY\SYSTEM에 의해 시작되었습니다.
컴퓨터가 종료되거나 임의의 간격으로 반복해서 다시 시작될 수 있습니다.
Windows XP 기반 또는 Windows Server 2003 기반 컴퓨터에서는 Microsoft에 문제를 보고할 수 있는 대화 상자가 나타날 수 있습니다. 오류 보고를 제출한 후에 다음 Microsoft 웹 페이지가 컴퓨터에 표시될 수 있습니다.
http://oca.microsoft.com/en/response.asp?sid=699
Windows 2000이나 Windows NT를 사용하면 Stop 오류 메시지가 나타날 수 있습니다.
Windows\System32 폴더에 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll이라는 파일이 있을 수 있습니다.
컴퓨터에 이상한 TFTP* 파일이 있을 수 있습니다.
기술적 세부 정보
이 웜에 의한 컴퓨터의 변경 내용에 대한 자세한 기술 정보를 얻으려면 바이러스 백신 소프트웨어 공급업체에 문의하십시오. 이 웜의 원래 버전으로 인한 컴퓨터의 변경 내용에 대한 자세한 기술 정보를 얻으려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/alerts/msblaster.asp
이 바이러스에 감염되었는지 확인하려면 Windows\System32 폴더에 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll이라는 파일이 있는지 검색하거나 바이러스 백신 공급업체로부터 최신 바이러스 백신 소프트웨어 서명을 다운로드한 다음 컴퓨터를 검색하십시오.
이러한 파일이 있는지 검색하려면 다음과 같이 하십시오.
시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
명령 프롬프트에서 dir %systemroot%\system32\filename.ext /a /s를 입력한 다음 Enter 키를 누릅니다. 여기에서 filename.ext는 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll입니다.
참고 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 및 Yuetyutr.dll의 각 파일 이름에 대해 2단계를 반복하십시오. 이러한 파일이 발견되면 컴퓨터가 웜에 감염되었을 수 있습니다. 이러한 파일 중 하나가 발견되면 파일을 삭제한 다음 본 문서의 "복구" 절에 나와 있는 단계를 따르십시오. 파일을 삭제하려면 명령 프롬프트에서 del %systemroot%\system32\filename.ext /a를 입력한 다음 Enter 키를 누르십시오.
예방
컴퓨터가 이 바이러스에 감염되지 않도록 하려면 다음과 같이 하십시오.
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서 인터넷 연결 방화벽(ICF) 기능을 설정하거나 기본 방화벽, Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체의 방화벽을 사용하여 TCP 135번, 139번, 445번, 593번 포트와 UDP 69번(TFTP), 135번, 137번, 138번 포트 및 원격 명령 셸용 TCP 4444번 포트를 차단합니다.
Windows XP 또는 Windows Server 2003에서 ICF 기능을 설정하려면 다음과 같이 합니다.
시작을 누른 다음 제어판을 누릅니다.
제어판에서 네트워크 및 인터넷 연결을 두 번 누른 다음 네트워크 연결을 누릅니다.
인터넷 연결 방화벽을 설정할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
참고 일부 전화 접속 연결에서는 네트워크 연결 폴더가 나타나지 않을 수 있습니다. 예를 들어, AOL과 MSN 전화 접속 연결은 나타나지 않을 수 있습니다. 경우에 따라 다음 단계를 사용하여 네트워크 연결 폴더에 나타나지 않는 연결에 대해 ICF 기능을 설정할 수 있습니다. 이러한 단계가 작동하지 않으면 인터넷 연결 방화벽을 설정하는 방법을 인터넷 서비스 공급자(ISP)에 문의하십시오.
Internet Explorer를 시작합니다.
도구 메뉴에서 인터넷 옵션을 누릅니다.
연결 탭을 누르고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 누른 다음 설정을 누릅니다.
전화 걸기 설정 영역에서 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
283673 HOWTO: Windows XP에서 인터넷 연결 방화벽을 사용하는 방법
참고 ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서만 사용할 수 있습니다. 기본 방화벽은 라우팅 및 원격 액세스와 Windows Server 2003 제품군의 구성원을 모두 실행하는 컴퓨터에서 공용 인터페이스에 사용할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.
이 웜은 감염 경로의 일부로 이전에 발표된 보안 취약점을 이용합니다. 그러므로 Microsoft 보안 게시판 MS03-026에서 확인된 취약점을 해결하려면 모든 컴퓨터에 823980 보안 패치가 설치되었는지 확인해야 합니다. 824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치 및 전제 조건(예: 사용 중인 Windows 버전용 서비스 팩)에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
824146 보안 패치를 다운로드하려면 사용하는 운영 체제에 해당하는 링크를 누르십시오.
Windows NT Workstation 4.0
http://download.microsoft.com/download/4/1/8/4180d4a0-83d8-46df-812d-9726e2732995/WindowsNT4Workstation-KB824146-x86-KOR.EXE
Windows NT Server 4.0
http://download.microsoft.com/download/8/c/f/8cfdab8f-fa4c-4eb4-95be-493a8f32d3e7/WindowsNT4Server-KB824146-x86-KOR.EXE
Windows NT Server 4.0, Terminal Server Edition
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000
http://download.microsoft.com/download/3/a/d/3ad9b88a-7750-4ac3-bdd7-9cfe7579988a/Windows2000-KB824146-x86-KOR.exe
Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition 및 Windows XP Media Center Edition
http://download.microsoft.com/download/2/8/9/28923ba1-0b28-4b20-9cf7-e3025b6335fa/WindowsXP-KB824146-x86-KOR.exe
Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
Windows Server 2003(32비트)
http://download.microsoft.com/download/8/b/5/8b5e88ca-8ad2-47c0-8251-fb86c59a28a6/WindowsServer2003-KB824146-x86-KOR.exe
Windows Server 2003(64비트) 및 Windows XP 64-Bit Version 2003
http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe
새로운 바이러스와 그 변종을 검색하려면 바이러스 백신 공급업체의 최신 바이러스 검색 서명을 사용하십시오.
복구
향후 손상을 일으킬 수 있는 악용 코드가 발견되지 않을 경우 이를 제거하려면 이전에 손상된 컴퓨터에 완전히 "새로" 설치하는 것이 가장 좋은 보안 방법입니다. 자세한 내용은 다음의 Cert Advisory 웹 사이트를 참조하십시오.
http://www.cert.org/tech_tips/win-unix-system_compromise.html
그러나 많은 바이러스 백신 공급업체가 이 특정 웜과 관련된 알려진 문제를 제거하는 도구를 제공합니다. 바이러스 백신 공급업체로부터 제거 도구를 다운로드하려면 사용 중인 운영 체제에 따라 다음 절차를 사용하십시오.
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition 복구
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서 인터넷 연결 방화벽(ICF) 기능을 설정하거나 기본 방화벽, Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체 방화벽을 사용합니다.
ICF 기능을 설정하려면 다음과 같이 합니다.
시작을 누른 다음 제어판을 누릅니다.
제어판에서 네트워크 및 인터넷 연결을 두 번 누른 다음 네트워크 연결을 누릅니다.
인터넷 연결 방화벽을 설정할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
참고
이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복해서 다시 시작되는 경우 방화벽을 설정하기 전에 인터넷 연결을 끊으십시오. 광대역 연결을 통해 인터넷에 연결한 경우 외부 DSL이나 케이블 모뎀에 연결되는 케이블을 찾은 다음 모뎀이나 전화 잭에서 해당 케이블을 뽑습니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내부의 모뎀에서 전화 잭으로 연결되는 전화 케이블을 찾은 다음 전화 잭이나 컴퓨터에서 케이블을 뽑습니다. 인터넷에서 연결을 끊을 수 없는 경우에는 명령 프롬프트에서 다음과 같이 입력하여 서비스가 실패할 때 컴퓨터를 다시 시작하지 않도록 RPCSS를 구성합니다.
sc failure rpcss reset= 0 actions= restart
이후에 RPCSS를 기본 복구 설정으로 되돌리려면 명령 프롬프트에서 다음과 같이 입력합니다.
sc failure rpcss reset= 0 actions= reboot/60000
인터넷 연결을 공유하는 컴퓨터가 두 대 이상 있는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마십시오. Windows XP를 실행 중인 경우 네트워크 설치 마법사를 사용하여 ICF 기능을 설정하십시오.
방화벽을 사용해도 전자 메일 서비스나 웹 탐색에는 영향을 주지 않지만 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 못할 수 있습니다. 이러한 문제가 발생하면 일부 인터넷 기능이 작동할 수 있도록 방화벽에서 일부 포트를 열어야 할 수도 있습니다. 어떤 포트를 열어야 할지 확인하려면 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하십시오. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
308127 Windows XP에서 인터넷 연결 방화벽에 있는 포트를 수동으로 여는 방법
경우에 따라 다음 단계를 사용하여 네트워크 연결 폴더에 나타나지 않는 연결에 대해 ICF 기능을 설정할 수 있습니다. 이러한 단계가 작동하지 않으면 인터넷 연결 방화벽을 설정하는 방법을 인터넷 서비스 공급자(ISP)에 문의하십시오.
Internet Explorer를 시작합니다.
도구 메뉴에서 인터넷 옵션을 누릅니다.
연결 탭을 누르고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 누른 다음 설정을 누릅니다.
전화 걸기 설정 영역에서 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
283673 HOWTO: Windows XP에서 인터넷 연결 방화벽을 사용하는 방법
참고 ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서만 사용할 수 있습니다. 기본 방화벽은 라우팅 및 원격 액세스를 실행하며 Windows Server 2003 제품군의 구성원인 컴퓨터에서 공용 인터페이스에 사용할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.
Microsoft 보안 게시판 MS03-026과 MS03-039에서 확인된 취약점을 해결하려면 824146 보안 패치를 다운로드하여 모든 컴퓨터에 설치합니다. 824146 보안 패치를 다운로드하려면 해당 링크를 누릅니다.
Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition 및 Windows XP Media Center Edition
http://download.microsoft.com/download/2/8/9/28923ba1-0b28-4b20-9cf7-e3025b6335fa/WindowsXP-KB824146-x86-KOR.exe
Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검색을 실행합니다.
바이러스 백신 공급업체로부터 웜 제거 도구를 다운로드하여 실행합니다.
Windows 2000 및 Windows NT 4.0 복구
Windows 2000 또는 Windows NT 4.0에서는 인터넷 연결 방화벽 기능을 사용할 수 없습니다. TCP 135번, 139번, 445번, 593번 포트와 UDP 69번(TFTP), 135번, 137번, 138번 포트 및 원격 명령 셸용 TCP 4444번 포트를 차단하는 데 Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체의 방화벽을 사용할 수 없는 경우, LAN 연결에 영향을 받는 포트를 차단하려면 다음과 같이 하십시오. 전화 접속 연결에는 TCP/IP 필터링을 사용할 수 없습니다. 전화 접속 연결을 사용하여 인터넷에 연결한 경우에는 방화벽을 설정해야 합니다.
TCP/IP 보안을 구성합니다. 이렇게 하려면 사용 중인 운영 체제에 적합한 절차를 사용합니다.
Windows 2000
제어판에서 네트워크 및 전화 접속 연결을 두 번 누릅니다.
인터넷에 액세스하는 데 사용하는 인터페이스를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
선택한 구성 요소는 이 연결에 사용됩니다. 상자에서 인터넷 프로토콜(TCP/IP)을 누른 다음 등록 정보를 누릅니다.
인터넷 프로토콜(TCP/IP) 등록 정보 대화 상자에서 고급을 누릅니다.
옵션 탭을 누릅니다.
TCP/IP 필터링을 누른 다음 등록 정보를 누릅니다.
TCP/IP 필터링 사용(모든 어댑터) 확인란을 선택합니다.
다음 레이블에는 세 가지 열이 있습니다.
TCP 포트
UDP 포트
IP 프로토콜
각 열에서 다음만 허용 옵션을 누릅니다.
확인을 누릅니다.
참고
이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복해서 다시 시작되는 경우 방화벽을 설정하기 전에 인터넷 연결을 끊으십시오. 광대역 연결을 통해 인터넷에 연결한 경우 외부 DSL이나 케이블 모뎀에 연결되는 케이블을 찾은 다음 모뎀이나 전화 잭에서 해당 케이블을 뽑습니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내부의 모뎀에서 전화 잭으로 연결되는 전화 케이블을 찾은 다음 전화 잭이나 컴퓨터에서 케이블을 뽑습니다.
인터넷 연결을 공유하는 컴퓨터가 두 대 이상 있는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마십시오.
방화벽을 사용해도 전자 메일 서비스나 웹 탐색에는 영향을 주지 않지만 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 못할 수 있습니다. 이러한 문제가 발생하면 일부 인터넷 기능이 작동할 수 있도록 방화벽에서 일부 포트를 열어야 할 수도 있습니다. 어떤 포트를 열어야 할지 확인하려면 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하십시오. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하십시오.
이러한 단계는 Microsoft 기술 자료 문서 309798의 내용 일부를 발췌하여 수정한 것입니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
309798 HOWTO: Windows 2000에서 TCP/IP 필터링 구성
Windows NT 4.0
제어판에서 네트워크를 두 번 누릅니다.
프로토콜 탭을 누르고 TCP/IP 프로토콜을 누른 다음 등록 정보를 누릅니다.
IP 주소 탭을 누른 다음 고급을 누릅니다.
보안 사용 확인란을 선택한 다음 구성을 누릅니다.
TCP 포트, UDP 포트 및 IP 프로토콜 열에서 다음만 허용 설정을 선택합니다.
확인을 누른 다음 네트워크 도구를 닫습니다.
Microsoft 보안 게시판 MS03-026과 MS03-039에서 확인된 취약점을 해결하려면 824146 보안 패치를 다운로드하여 모든 컴퓨터에 설치합니다. 824146 보안 패치를 다운로드하려면 해당 링크를 누릅니다.
Windows NT Workstation 4.0
http://download.microsoft.com/download/4/1/8/4180d4a0-83d8-46df-812d-9726e2732995/WindowsNT4Workstation-KB824146-x86-KOR.EXE
Windows NT Server 4.0
http://download.microsoft.com/download/8/c/f/8cfdab8f-fa4c-4eb4-95be-493a8f32d3e7/WindowsNT4Server-KB824146-x86-KOR.EXE
Windows NT Server 4.0, Terminal Server Edition
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000
http://download.microsoft.com/download/3/a/d/3ad9b88a-7750-4ac3-bdd7-9cfe7579988a/Windows2000-KB824146-x86-KOR.exe
824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치 및 전제 조건(예: 사용 중인 Windows 버전용 서비스 팩)에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검색을 실행합니다.
바이러스 백신 공급업체로부터 웜 제거 도구를 다운로드하여 실행합니다.
Microsoft Virus Information Alliance(VIA)에 참여하고 있는 바이러스 백신 소프트웨어 공급업체로부터 이 Blaster 웜에 대한 자세한 기술 정보를 얻으려면 다음 다른 공급업체 웹 사이트를 방문하십시오.
Network Associates
http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547
Trend Micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a
Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Computer Associates
http://www3.ca.com/virusinfo/virus.aspx?id=36265
참고 TCP 필터링을 사용하지 않아야 할 경우 본 문서에 나와 있는 수정 프로그램을 적용해서 웜을 성공적으로 제거했는지 확인한 후에 TCP 필터링을 해제할 수 있습니다.
Blaster 웜의 알려진 변종에 대한 자세한 기술 정보를 얻으려면 다음 Symantec 웹 사이트를 방문하십시오.
W32.Blaster.C.Worm: Teekids.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html
W32.Blaster.B.Worm: Penis32.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html
W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll 및 Yyuetyutr.dll
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html
Microsoft Virus Information Alliance에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/virus/via.asp
이 웜으로부터 복구하는 방법에 대한 자세한 내용은 바이러스 백신 공급업체에 문의하십시오.
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.
참조
이 웜에 대한 최신 정보를 Microsoft에서 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/security/incident/blast.asp
이 경고문에 대한 질문이 있는 경우 Microsoft 담당자에게 문의하거나 미국 1-866-727-2338(1-866-PCSafety)로 문의하십시오. 미국 이외의 지역에서는 해당 지역 Microsoft 사무소에 문의하십시오. 바이러스 관련 문제에 대한 지원을 얻으려면 다음 Microsoft Virus Support Newsgroup 웹 사이트를 방문하십시오.
news://msnews.microsoft.com/microsoft.public.security.virus
Microsoft 제품의 보안과 관련된 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/security/default.asp
Microsoft 보안 게시판 MS03-026과 MS03-039의 보안과 관련된 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
본 문서의 정보는 다음의 제품에 적용됩니다.
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows NT Server
Microsoft Windows NT Advanced Server
Microsoft Windows NT Server, Enterprise Edition
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows XP 64-Bit Edition Version 2002
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
최종수정일: 2003-09-17 (6.0)
키워드: kbvirus kbSECAntiVirus kberrmsg KB826955 kbAudITPRO
Blaster 웜 및 그 변종에 대한 바이러스 경고
적용 대상
요약
2003년 8월 11일 Microsoft는 Microsoft 고객 기술지원부(PSS)에서 보고한 웜에 대한 조사를 시작했으며 Microsoft PSS 보안 팀은 고객에게 새로운 웜에 대한 정보를 제공하기 위해 경고문을 발표했습니다. 웜은 일반적으로 사용자 동작 없이 확산되고 인터넷과 같은 네트워크를 통해 자신의 완전한 복사본(수정될 수도 있음)을 배포하는 일종의 컴퓨터 바이러스입니다. 일반적으로 "Blaster"로 알려진 이 새로운 웜은 Microsoft 보안 게시판 MS03-026(823980)에서 설명한 취약점을 악용하여 본 문서의 시작 부분에서 나열한 제품을 실행하는 컴퓨터의 열려 있는 원격 프로시저 호출(RPC) 포트를 사용함으로써 네트워크를 통해 스스로 확산됩니다.
이 문서는 네트워크 관리자와 IT 전문가가 Blaster 웜 및 그 변종에 감염되지 않는 방법과 감염으로부터 복구하는 방법에 대한 정보를 포함하고 있습니다. 웜 및 변종은 W32.Blaster.Worm, W32.Blaster.C.Worm, W32.Blaster.B.Worm, W32.Randex.E(Symantec), W32/Lovsan.worm(McAfee), WORM_MSBLAST.A(Trendmicro) 및 Win32.Posa.Worm(Computer Associates)으로도 알려져 있습니다. 이 웜으로부터 복구하는 방법에 대한 자세한 내용은 바이러스 백신 소프트웨어 공급업체에 문의하십시오. 바이러스 백신 소프트웨어 공급업체에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
49500 바이러스 백신 소프트웨어 공급업체 목록
개인 사용자의 경우 컴퓨터를 보호하고 컴퓨터가 Blaster 웜에 감염되었을 때 복구하는 단계는 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/security/incident/blast.asp
823980 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
Blaster 웜과 유사하며 Microsoft 보안 게시판 MS03-026(823980)과 MS03-007(815021)에서 설명하는 취약점을 악용하는 웜에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
826234 Nachi 웜에 대한 바이러스 경고
참고
Blaster 웜이 발견된 날짜인 2003년 8월 11일 이전에 823980 보안 패치(MS03-026)를 설치한 경우 사용 중인 컴퓨터는 이 웜에 취약하지 않습니다. 2003년 8월 11일 이전에 823980 보안 패치(MS03-026)를 설치한 경우 다른 조치를 취할 필요가 없습니다.
Microsoft는 Microsoft 보안 게시판 MS03-026(823980)에서 설명하는 취약점의 영향을 받는지 평가하기 위해 Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP 및 Windows Server 2003을 테스트했습니다. Windows Millennium Edition에는 이 취약점과 관련된 기능이 없습니다. Windows Me 이전 버전은 더 이상 지원되지 않으므로 이 취약점에 영향을 받을 수도 있고 받지 않을 수도 있습니다. Microsoft Support Life Cycle에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://support.microsoft.com/default.aspx?scid=fh;ko;lifecycle
이러한 취약점과 관련된 기능은 DCOM이 설치되어 있다고 해도 Windows 95, Windows 98 또는 Windows 98 Second Edition에는 포함되어 있지 않습니다. 이러한 Windows 버전을 사용 중인 경우에는 별도의 조치를 취할 필요가 없습니다.
추가 정보
감염 현상
컴퓨터가 이 웜에 감염된 경우 어떠한 현상도 발생하지 않거나 다음 현상이 발생할 수 있습니다.
다음과 같은 오류 메시지가 나타날 수 있습니다.
원격 프로시저 호출(RPC) 서비스가 예기치 않게 중단되었습니다.
시스템을 종료하고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오.
저장하지 않은 모든 변경된 내용은 손실됩니다.
시스템 종료는 NT AUTHORITY\SYSTEM에 의해 시작되었습니다.
컴퓨터가 종료되거나 임의의 간격으로 반복해서 다시 시작될 수 있습니다.
Windows XP 기반 또는 Windows Server 2003 기반 컴퓨터에서는 Microsoft에 문제를 보고할 수 있는 대화 상자가 나타날 수 있습니다. 오류 보고를 제출한 후에 다음 Microsoft 웹 페이지가 컴퓨터에 표시될 수 있습니다.
http://oca.microsoft.com/en/response.asp?sid=699
Windows 2000이나 Windows NT를 사용하면 Stop 오류 메시지가 나타날 수 있습니다.
Windows\System32 폴더에 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll이라는 파일이 있을 수 있습니다.
컴퓨터에 이상한 TFTP* 파일이 있을 수 있습니다.
기술적 세부 정보
이 웜에 의한 컴퓨터의 변경 내용에 대한 자세한 기술 정보를 얻으려면 바이러스 백신 소프트웨어 공급업체에 문의하십시오. 이 웜의 원래 버전으로 인한 컴퓨터의 변경 내용에 대한 자세한 기술 정보를 얻으려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/virus/alerts/msblaster.asp
이 바이러스에 감염되었는지 확인하려면 Windows\System32 폴더에 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll이라는 파일이 있는지 검색하거나 바이러스 백신 공급업체로부터 최신 바이러스 백신 소프트웨어 서명을 다운로드한 다음 컴퓨터를 검색하십시오.
이러한 파일이 있는지 검색하려면 다음과 같이 하십시오.
시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
명령 프롬프트에서 dir %systemroot%\system32\filename.ext /a /s를 입력한 다음 Enter 키를 누릅니다. 여기에서 filename.ext는 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll입니다.
참고 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 및 Yuetyutr.dll의 각 파일 이름에 대해 2단계를 반복하십시오. 이러한 파일이 발견되면 컴퓨터가 웜에 감염되었을 수 있습니다. 이러한 파일 중 하나가 발견되면 파일을 삭제한 다음 본 문서의 "복구" 절에 나와 있는 단계를 따르십시오. 파일을 삭제하려면 명령 프롬프트에서 del %systemroot%\system32\filename.ext /a를 입력한 다음 Enter 키를 누르십시오.
예방
컴퓨터가 이 바이러스에 감염되지 않도록 하려면 다음과 같이 하십시오.
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서 인터넷 연결 방화벽(ICF) 기능을 설정하거나 기본 방화벽, Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체의 방화벽을 사용하여 TCP 135번, 139번, 445번, 593번 포트와 UDP 69번(TFTP), 135번, 137번, 138번 포트 및 원격 명령 셸용 TCP 4444번 포트를 차단합니다.
Windows XP 또는 Windows Server 2003에서 ICF 기능을 설정하려면 다음과 같이 합니다.
시작을 누른 다음 제어판을 누릅니다.
제어판에서 네트워크 및 인터넷 연결을 두 번 누른 다음 네트워크 연결을 누릅니다.
인터넷 연결 방화벽을 설정할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
참고 일부 전화 접속 연결에서는 네트워크 연결 폴더가 나타나지 않을 수 있습니다. 예를 들어, AOL과 MSN 전화 접속 연결은 나타나지 않을 수 있습니다. 경우에 따라 다음 단계를 사용하여 네트워크 연결 폴더에 나타나지 않는 연결에 대해 ICF 기능을 설정할 수 있습니다. 이러한 단계가 작동하지 않으면 인터넷 연결 방화벽을 설정하는 방법을 인터넷 서비스 공급자(ISP)에 문의하십시오.
Internet Explorer를 시작합니다.
도구 메뉴에서 인터넷 옵션을 누릅니다.
연결 탭을 누르고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 누른 다음 설정을 누릅니다.
전화 걸기 설정 영역에서 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
283673 HOWTO: Windows XP에서 인터넷 연결 방화벽을 사용하는 방법
참고 ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서만 사용할 수 있습니다. 기본 방화벽은 라우팅 및 원격 액세스와 Windows Server 2003 제품군의 구성원을 모두 실행하는 컴퓨터에서 공용 인터페이스에 사용할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.
이 웜은 감염 경로의 일부로 이전에 발표된 보안 취약점을 이용합니다. 그러므로 Microsoft 보안 게시판 MS03-026에서 확인된 취약점을 해결하려면 모든 컴퓨터에 823980 보안 패치가 설치되었는지 확인해야 합니다. 824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치 및 전제 조건(예: 사용 중인 Windows 버전용 서비스 팩)에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
824146 보안 패치를 다운로드하려면 사용하는 운영 체제에 해당하는 링크를 누르십시오.
Windows NT Workstation 4.0
http://download.microsoft.com/download/4/1/8/4180d4a0-83d8-46df-812d-9726e2732995/WindowsNT4Workstation-KB824146-x86-KOR.EXE
Windows NT Server 4.0
http://download.microsoft.com/download/8/c/f/8cfdab8f-fa4c-4eb4-95be-493a8f32d3e7/WindowsNT4Server-KB824146-x86-KOR.EXE
Windows NT Server 4.0, Terminal Server Edition
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000
http://download.microsoft.com/download/3/a/d/3ad9b88a-7750-4ac3-bdd7-9cfe7579988a/Windows2000-KB824146-x86-KOR.exe
Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition 및 Windows XP Media Center Edition
http://download.microsoft.com/download/2/8/9/28923ba1-0b28-4b20-9cf7-e3025b6335fa/WindowsXP-KB824146-x86-KOR.exe
Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
Windows Server 2003(32비트)
http://download.microsoft.com/download/8/b/5/8b5e88ca-8ad2-47c0-8251-fb86c59a28a6/WindowsServer2003-KB824146-x86-KOR.exe
Windows Server 2003(64비트) 및 Windows XP 64-Bit Version 2003
http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe
새로운 바이러스와 그 변종을 검색하려면 바이러스 백신 공급업체의 최신 바이러스 검색 서명을 사용하십시오.
복구
향후 손상을 일으킬 수 있는 악용 코드가 발견되지 않을 경우 이를 제거하려면 이전에 손상된 컴퓨터에 완전히 "새로" 설치하는 것이 가장 좋은 보안 방법입니다. 자세한 내용은 다음의 Cert Advisory 웹 사이트를 참조하십시오.
http://www.cert.org/tech_tips/win-unix-system_compromise.html
그러나 많은 바이러스 백신 공급업체가 이 특정 웜과 관련된 알려진 문제를 제거하는 도구를 제공합니다. 바이러스 백신 공급업체로부터 제거 도구를 다운로드하려면 사용 중인 운영 체제에 따라 다음 절차를 사용하십시오.
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition 복구
Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서 인터넷 연결 방화벽(ICF) 기능을 설정하거나 기본 방화벽, Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체 방화벽을 사용합니다.
ICF 기능을 설정하려면 다음과 같이 합니다.
시작을 누른 다음 제어판을 누릅니다.
제어판에서 네트워크 및 인터넷 연결을 두 번 누른 다음 네트워크 연결을 누릅니다.
인터넷 연결 방화벽을 설정할 연결을 마우스 오른쪽 단추로 누른 다음 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
참고
이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복해서 다시 시작되는 경우 방화벽을 설정하기 전에 인터넷 연결을 끊으십시오. 광대역 연결을 통해 인터넷에 연결한 경우 외부 DSL이나 케이블 모뎀에 연결되는 케이블을 찾은 다음 모뎀이나 전화 잭에서 해당 케이블을 뽑습니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내부의 모뎀에서 전화 잭으로 연결되는 전화 케이블을 찾은 다음 전화 잭이나 컴퓨터에서 케이블을 뽑습니다. 인터넷에서 연결을 끊을 수 없는 경우에는 명령 프롬프트에서 다음과 같이 입력하여 서비스가 실패할 때 컴퓨터를 다시 시작하지 않도록 RPCSS를 구성합니다.
sc failure rpcss reset= 0 actions= restart
이후에 RPCSS를 기본 복구 설정으로 되돌리려면 명령 프롬프트에서 다음과 같이 입력합니다.
sc failure rpcss reset= 0 actions= reboot/60000
인터넷 연결을 공유하는 컴퓨터가 두 대 이상 있는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마십시오. Windows XP를 실행 중인 경우 네트워크 설치 마법사를 사용하여 ICF 기능을 설정하십시오.
방화벽을 사용해도 전자 메일 서비스나 웹 탐색에는 영향을 주지 않지만 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 못할 수 있습니다. 이러한 문제가 발생하면 일부 인터넷 기능이 작동할 수 있도록 방화벽에서 일부 포트를 열어야 할 수도 있습니다. 어떤 포트를 열어야 할지 확인하려면 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하십시오. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하십시오. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
308127 Windows XP에서 인터넷 연결 방화벽에 있는 포트를 수동으로 여는 방법
경우에 따라 다음 단계를 사용하여 네트워크 연결 폴더에 나타나지 않는 연결에 대해 ICF 기능을 설정할 수 있습니다. 이러한 단계가 작동하지 않으면 인터넷 연결 방화벽을 설정하는 방법을 인터넷 서비스 공급자(ISP)에 문의하십시오.
Internet Explorer를 시작합니다.
도구 메뉴에서 인터넷 옵션을 누릅니다.
연결 탭을 누르고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 누른 다음 설정을 누릅니다.
전화 걸기 설정 영역에서 속성을 누릅니다.
고급 탭을 누른 다음 인터넷에서 이 컴퓨터에 액세스하는 것을 제한하거나 금지하여 내 컴퓨터 및 네트워크 보호 확인란을 선택합니다.
Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 설정하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
283673 HOWTO: Windows XP에서 인터넷 연결 방화벽을 사용하는 방법
참고 ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003, Enterprise Edition에서만 사용할 수 있습니다. 기본 방화벽은 라우팅 및 원격 액세스를 실행하며 Windows Server 2003 제품군의 구성원인 컴퓨터에서 공용 인터페이스에 사용할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.
Microsoft 보안 게시판 MS03-026과 MS03-039에서 확인된 취약점을 해결하려면 824146 보안 패치를 다운로드하여 모든 컴퓨터에 설치합니다. 824146 보안 패치를 다운로드하려면 해당 링크를 누릅니다.
Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition 및 Windows XP Media Center Edition
http://download.microsoft.com/download/2/8/9/28923ba1-0b28-4b20-9cf7-e3025b6335fa/WindowsXP-KB824146-x86-KOR.exe
Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검색을 실행합니다.
바이러스 백신 공급업체로부터 웜 제거 도구를 다운로드하여 실행합니다.
Windows 2000 및 Windows NT 4.0 복구
Windows 2000 또는 Windows NT 4.0에서는 인터넷 연결 방화벽 기능을 사용할 수 없습니다. TCP 135번, 139번, 445번, 593번 포트와 UDP 69번(TFTP), 135번, 137번, 138번 포트 및 원격 명령 셸용 TCP 4444번 포트를 차단하는 데 Microsoft Internet Security and Acceleration(ISA) Server 2000 또는 다른 공급업체의 방화벽을 사용할 수 없는 경우, LAN 연결에 영향을 받는 포트를 차단하려면 다음과 같이 하십시오. 전화 접속 연결에는 TCP/IP 필터링을 사용할 수 없습니다. 전화 접속 연결을 사용하여 인터넷에 연결한 경우에는 방화벽을 설정해야 합니다.
TCP/IP 보안을 구성합니다. 이렇게 하려면 사용 중인 운영 체제에 적합한 절차를 사용합니다.
Windows 2000
제어판에서 네트워크 및 전화 접속 연결을 두 번 누릅니다.
인터넷에 액세스하는 데 사용하는 인터페이스를 마우스 오른쪽 단추로 누른 다음 등록 정보를 누릅니다.
선택한 구성 요소는 이 연결에 사용됩니다. 상자에서 인터넷 프로토콜(TCP/IP)을 누른 다음 등록 정보를 누릅니다.
인터넷 프로토콜(TCP/IP) 등록 정보 대화 상자에서 고급을 누릅니다.
옵션 탭을 누릅니다.
TCP/IP 필터링을 누른 다음 등록 정보를 누릅니다.
TCP/IP 필터링 사용(모든 어댑터) 확인란을 선택합니다.
다음 레이블에는 세 가지 열이 있습니다.
TCP 포트
UDP 포트
IP 프로토콜
각 열에서 다음만 허용 옵션을 누릅니다.
확인을 누릅니다.
참고
이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복해서 다시 시작되는 경우 방화벽을 설정하기 전에 인터넷 연결을 끊으십시오. 광대역 연결을 통해 인터넷에 연결한 경우 외부 DSL이나 케이블 모뎀에 연결되는 케이블을 찾은 다음 모뎀이나 전화 잭에서 해당 케이블을 뽑습니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내부의 모뎀에서 전화 잭으로 연결되는 전화 케이블을 찾은 다음 전화 잭이나 컴퓨터에서 케이블을 뽑습니다.
인터넷 연결을 공유하는 컴퓨터가 두 대 이상 있는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마십시오.
방화벽을 사용해도 전자 메일 서비스나 웹 탐색에는 영향을 주지 않지만 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 못할 수 있습니다. 이러한 문제가 발생하면 일부 인터넷 기능이 작동할 수 있도록 방화벽에서 일부 포트를 열어야 할 수도 있습니다. 어떤 포트를 열어야 할지 확인하려면 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하십시오. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하십시오.
이러한 단계는 Microsoft 기술 자료 문서 309798의 내용 일부를 발췌하여 수정한 것입니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
309798 HOWTO: Windows 2000에서 TCP/IP 필터링 구성
Windows NT 4.0
제어판에서 네트워크를 두 번 누릅니다.
프로토콜 탭을 누르고 TCP/IP 프로토콜을 누른 다음 등록 정보를 누릅니다.
IP 주소 탭을 누른 다음 고급을 누릅니다.
보안 사용 확인란을 선택한 다음 구성을 누릅니다.
TCP 포트, UDP 포트 및 IP 프로토콜 열에서 다음만 허용 설정을 선택합니다.
확인을 누른 다음 네트워크 도구를 닫습니다.
Microsoft 보안 게시판 MS03-026과 MS03-039에서 확인된 취약점을 해결하려면 824146 보안 패치를 다운로드하여 모든 컴퓨터에 설치합니다. 824146 보안 패치를 다운로드하려면 해당 링크를 누릅니다.
Windows NT Workstation 4.0
http://download.microsoft.com/download/4/1/8/4180d4a0-83d8-46df-812d-9726e2732995/WindowsNT4Workstation-KB824146-x86-KOR.EXE
Windows NT Server 4.0
http://download.microsoft.com/download/8/c/f/8cfdab8f-fa4c-4eb4-95be-493a8f32d3e7/WindowsNT4Server-KB824146-x86-KOR.EXE
Windows NT Server 4.0, Terminal Server Edition
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000
http://download.microsoft.com/download/3/a/d/3ad9b88a-7750-4ac3-bdd7-9cfe7579988a/Windows2000-KB824146-x86-KOR.exe
824146 보안 패치는 823980 보안 패치를 대체한 것입니다. Microsoft 보안 게시판 MS03-026(823980)에 설명되어 있는 문제에 대한 수정 프로그램도 포함하고 있는 824146 보안 패치를 설치하는 것이 좋습니다. 824146 보안 패치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824146 MS03-039: RPCSS의 버퍼 오버런으로 인한 코드 실행 문제
823980 보안 패치 및 전제 조건(예: 사용 중인 Windows 버전용 서비스 팩)에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823980 MS03-026: RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제
바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검색을 실행합니다.
바이러스 백신 공급업체로부터 웜 제거 도구를 다운로드하여 실행합니다.
Microsoft Virus Information Alliance(VIA)에 참여하고 있는 바이러스 백신 소프트웨어 공급업체로부터 이 Blaster 웜에 대한 자세한 기술 정보를 얻으려면 다음 다른 공급업체 웹 사이트를 방문하십시오.
Network Associates
http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547
Trend Micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a
Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
Computer Associates
http://www3.ca.com/virusinfo/virus.aspx?id=36265
참고 TCP 필터링을 사용하지 않아야 할 경우 본 문서에 나와 있는 수정 프로그램을 적용해서 웜을 성공적으로 제거했는지 확인한 후에 TCP 필터링을 해제할 수 있습니다.
Blaster 웜의 알려진 변종에 대한 자세한 기술 정보를 얻으려면 다음 Symantec 웹 사이트를 방문하십시오.
W32.Blaster.C.Worm: Teekids.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html
W32.Blaster.B.Worm: Penis32.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html
W32.Randex.E : Nstask32.exe, Winlogin.exe, Win32sockdrv.dll 및 Yyuetyutr.dll
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html
Microsoft Virus Information Alliance에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/virus/via.asp
이 웜으로부터 복구하는 방법에 대한 자세한 내용은 바이러스 백신 공급업체에 문의하십시오.
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.
참조
이 웜에 대한 최신 정보를 Microsoft에서 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/security/incident/blast.asp
이 경고문에 대한 질문이 있는 경우 Microsoft 담당자에게 문의하거나 미국 1-866-727-2338(1-866-PCSafety)로 문의하십시오. 미국 이외의 지역에서는 해당 지역 Microsoft 사무소에 문의하십시오. 바이러스 관련 문제에 대한 지원을 얻으려면 다음 Microsoft Virus Support Newsgroup 웹 사이트를 방문하십시오.
news://msnews.microsoft.com/microsoft.public.security.virus
Microsoft 제품의 보안과 관련된 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/security/default.asp
Microsoft 보안 게시판 MS03-026과 MS03-039의 보안과 관련된 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
본 문서의 정보는 다음의 제품에 적용됩니다.
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows Server 2003, Web Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows NT Server
Microsoft Windows NT Advanced Server
Microsoft Windows NT Server, Enterprise Edition
Microsoft Windows NT Workstation 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows XP 64-Bit Edition Version 2002
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
최종수정일: 2003-09-17 (6.0)
키워드: kbvirus kbSECAntiVirus kberrmsg KB826955 kbAudITPRO
