컨피커 웜으로부터 자신을 보호

컨피커 감염 시 다음과 같은 증상이 나타납니다.

• 보안 관련 사이트에 대한 액세스 차단
• 사용자의 해당 디렉토리 사용 차단
• 디렉토리 서비스(DS) 서버가 아닌 곳에서 445 포트를 통해 트래픽 송신
• 관리자 공유 드라이브에 대한 액세스 거부
• Autorun.inf 파일이 재활용 디렉토리 또는 휴지통에 위치

Conficker.C는 컨피커 웜의 가장 최근 변종입니다. Conficker.C에 대한 노출은 Microsoft Windows Server 서비스의 MS08-067 취약성을 이용하여 작동하는 초기 변종인 Conficker.A와 Conficker.B에 여전히 감염되어 있는 시스템에 한정되어 있습니다. 이 취약성을 성공적으로 이용하면 파일 공유가 활성화될 때 원격 코드 실행을 허용할 수 있습니다. 컨피커는 예정된 작업 생성 또는 autorun.inf 파일을 이용하여 퇴치 노력과 싸워 스스로 재활성화됩니다.

McAfee는 컨피커 페이로드를 전달하는 수천 개의 바이너리를 확인했습니다. 특정 변종에 따라 컨피커 웜은 LAN, WAN, 웹 또는 이동식 드라이브를 통해 그리고 취약한 암호를 활용하여 퍼질 수 있습니다. 컨피커는 여러 중요 시스템 서비스와 보안 제품을 비활성화시키고 임의의 파일을 다운로드합니다. 이 웜에 감염된 컴퓨터는 손상된 컴퓨터 "군대"의 일부가 되어 웹사이트에 대한 공격 실행, 스팸 전파, 피싱 웹사이트 호스팅 또는 기타 악의적인 활동 실행에 사용될 수 있습니다.

고객은 다음 단계를 수행하여 W32/Conficker.worm을 제거하고 이의 확산을 방지하는 것이 좋습니다.

1. Microsoft Security Update MS08-067 설치: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
2. 감염된 시스템 치료 및 재부팅
   McAfee VirusScan Plus 또는 ToPS for Endpoint와 같은 안티멀웨어 솔루션을 이용하여 감염을 치료합니다. 호스트 IPS에서 버퍼 오버플로우 보호와 같은 행동 탐지 기법을 이용하여 향후 감염을 예방합니다. 컨피커는 감염된 USB 드라이브와 같은 휴대용 매체를 통해 전파될 수 있기 때문에 이 작업은 중요합니다. 이 매체를 액세스할 때 시스템은 autorun.inf를 처리하여 공격을 실행합니다. 자세한 내용은 McAfee Labs^TM 문서 “Combating Conficker Worm”을 읽어보십시오.
3. 감염 위험에 처한 다른 시스템 파악
   어느 시스템이 위험에 처해 있는지 파악할 필요가 있습니다. 이 목록은 Microsoft 취약성 MS08-067에 대해 패치를 설치하지 않았거나 이 취약성을 완화시킬 사전 보호 통제책이 없는 시스템을 포함합니다. McAfee Vulnerability Manager와 ePolicy Orchestrator는 취약하며 보호되지 않은 시스템을 파악할 수 있습니다.
4. 위협의 전파 능력 제한
   네트워크의 전략적 지점에서 네트워크 IPS를 사용하면 위협의 전파 능력을 빠르게 제한할 수 있습니다. 이 제한은 클라이언트 안티바이러스 시그너처를 업데이트하거나 행동 제어를 이용하여 위협을 차단할 시간을 제공합니다.