MIRC 트로이 관련 공격 검색 및 복구

기술 자료 번역 기술 자료 번역
기술 자료: 328691 - 이 문서가 적용되는 제품 보기.
이 문서는 이전에 다음 ID로 출판되었음: KR328691
모두 확대 | 모두 축소

이 페이지에서

요약

업데이트: 2002년 9월 6일 현재 본 문서에 설명되어 있는 특정 패턴을 따르는 악의적인 활동에 대한 보고가 상당히 감소했습니다. Microsoft 고객기술지원부 보안 팀은 이 Microsoft 기술 자료 문서를 수정하여 이러한 정보를 반영하고 검색 및 복구 기준에 대한 제안 사항을 개선하였습니다.

Microsoft의 연구에 따르면 Microsoft Windows 2000 기반 서버에 코드를 로드하려고 하는 악의적인 활동이 증가하고 있습니다. 이러한 활동은 대개 Backdoor.IRC.Flood로 식별된 프로그램과 관련이 있습니다.

Microsoft는 손상된 컴퓨터에 대한 분석을 통해 이러한 공격이 신제품 관련 보안 문제를 이용한 공격으로는 보이지 않으며 특성상 바이러스 같지도 않다고 판단하였습니다. 대신 이 공격은 "예방 조치" 절에 설명되어 있는 것처럼 표준 예방 조치를 수행하지 않은 상황을 악용하려고 합니다. 이러한 활동은 Windows 2000 기반 서버를 공격하려는 일련의 조정된 개별 시도와 관련된 것으로 보입니다. 따라서 공격에 성공하면 특수한 패턴이 남겨집니다. 이 문서에서는 성공적인 공격을 받아 이러한 패턴에 따라 생긴 파일과 프로그램의 목록을 나열하여 다음과 같이 적절한 조치를 취할 수 있도록 합니다.
  • 손상된 컴퓨터를 검색합니다.
  • 손상된 컴퓨터를 복구 및 복원합니다.

추가 정보

공격의 영향

서버 손상

현상

손상된 시스템에서는 아래와 같은 현상이 나타납니다.
  • 바이러스 백신 소프트웨어에서 Backdoor.IRC.Flood와 그 변형 같은 트로이가 검색되었다고 메시지를 표시할 수 있습니다. 이들 트로이는 최신 서명 파일을 사용하는 현재 바이러스 백신 제품에서 검색됩니다.
  • 손상된 컴퓨터가 도메인 컨트롤러인 경우 보안 정책이 수정됩니다. 보안 정책을 수정할 경우 발생할 수 있는 결과는 아래와 같습니다.
    • 이전에 비활성화되어 있던 게스트 계정이 다시 활성화됩니다.
    • 관리 권한을 가진(가능할 경우) 새로운 권한 없는 계정이 만들어집니다.
    • 서버나 Active Directory에서 보안 권한이 변경됩니다.
    • 사용자가 워크스테이션에서 도메인에 로그온할 수 없습니다.
    • 사용자가 Microsoft Management Console(MMC)에서 Active Directory 스냅인을 열 수 없습니다.
    • 관리자가 Active Directory 사이트 및 서비스 스냅인을 열려고 하면 다음과 같은 오류 메시지가 나타납니다.
      다음 이유 때문에 명명 정보를 찾을 수 없습니다. 서버를 사용할 수 없습니다. 사용자 시스템 관리자에게 문의하여 사용자 도메인이 올바르게 구성되었고 현재 온라인 상태인지 확인하십시오.
    • 오류 로그는 잠긴 상태의 승인된 사용자가 로그온 시도에서 여러 번 실패했음을 표시합니다.
    • 도메인 컨트롤러에서 DCDIAG를 실행하려고 하면 다음 오류 메시지 중 하나가 나타날 수 있습니다.
      Performing initial setup: [sic1] LDAP bind failed with error 31, a device attached to the system is not functioning.
      Performing initial setup: [ServerName] LDAP bind failed with error 1323, unable to update the password. The value provided as the current password is incorrect. ***Error: The machine could not attach to the DC because the credentials were incorrect. Check your credentials or specify credentials with /u:<domain>\<user> & /p:[<password>|*|""]
      참고?이 오류 메시지에서 ServerName은 도메인 컨트롤러의 이름입니다.
또한 감염된 컴퓨터에서 시스템 상태를 백업하려고 하면 백업을 수행 중인 컴퓨터의 응용 프로그램 로그에 다음 오류 메시지가 나타날 수 있습니다.
이벤트 ID: 8012
원본: NTBackup
설명:
'Active Directory'이(가) 'BackupPrepare()'을(를) 호출하여 '시스템에 부착된 장치가 작동하지 않습니다.'을(를) 반환했습니다('\\ComputerName' 추가 데이터).
참고?이 오류 메시지에서 ComputerName은 컴퓨터의 네트워크 기본 입출력 시스템(NetBIOS) 이름입니다.
이벤트 ID: 1000
원본: Userenv
설명:
Windows에서 사용자 또는 컴퓨터 이름을 확인할 수 없습니다. 반환된 값(1326)

기술적 세부 정보

컴퓨터가 손상된 경우 바이러스 백신 소프트웨어가 Backdoor.IRC.Flood와 그 변형 같은 악의적인 코드를 검색할 수 있습니다. 자세한 내용은 바이러스 백신 공급업체에 문의하십시오.

그러한 경우 Microsoft의 분석에 따르면 손상된 서버는 다음과 같은 파일과 프로그램을 갖고 있는 것으로 밝혀졌습니다. 이들 파일이 있다는 것은 시스템이 손상되었음을 나타냅니다. 컴퓨터에서 이들 파일이나 프로그램이 발견되었지만 사용자가 설치하지 않았거나 사용자가 모르게 설치된 것이라면 최신 바이러스 검색 프로그램을 사용하여 바이러스를 검색하십시오.

참고?파일의 경로는 컴퓨터마다 다를 수 있으므로 나타내지 않았습니다.
  • Gg.bat: Gg.bat는 다른 서버에 관리자나 루트로 연결하려고 합니다. 그런 다음 서버에서 Flashfxp와 Ws_ftp 프로그램을 찾아 Ocxdll.exe를 포함한 여러 개의 파일을 서버에 복사한 후 Psexec 프로그램을 사용하여 원격 서버에서 명령을 실행합니다.
  • Seced.bat: Seced.bat는 보안 정책을 변경합니다.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
또 어떤 경우에는 승인된 프로그램이 공격자에 의해 설치되어 공격을 도와 주기도 합니다. 시스템에서 이러한 프로그램이 발견되었지만 사용자가 설치하지 않은 경우에는 시스템이 손상된 것일 수 있으므로 자세히 조사해야 합니다.
  • Psexec
  • Ws_ftp
  • Flashfxp
이러한 공격과 관련된 마지막 파일 집합은 일상적으로 시스템에 설치되지만 공격의 일환으로 트로이 버전이 설치되는 승인된 시스템 파일입니다. 대부분의 바이러스 백신 공급업체의 제품이 최신 바이러스 서명과 함께 사용되면 다음 파일의 트로이 버전이 있을 경우 이를 검색합니다.
  • MDM.exe
  • Taskmngr.exe

공격 벡터

지금까지의 분석에 따르면 공격자는 쉽거나 비어 있는 관리자 암호를 사용하여 시스템에 침입했던 것으로 나타났습니다. Microsoft는 지금까지 알려지지 않은 보안 문제가 공격에 이용되었음을 제시할 만한 근거를 갖고 있지 않습니다.

예방 조치

고객은 다음과 같은 최선의 표준 보안 방법을 준수하여 이 공격과 다른 공격에서 사용 중인 서버를 보호하는 것이 좋습니다.
  • 비어 있거나 쉬운 관리자 암호 제거
  • 게스트 계정 비활성화
  • 최신의 바이러스 서명 정의가 포함된 최신 바이러스 백신 소프트웨어 실행
  • 방화벽을 사용하여 도메인 컨트롤러를 포함한 내부 서버 보호
  • 모든 보안 패치를 최신 상태로 유지
Microsoft Windows 2000 기반 서버를 규정에 맞게 구성하는 최적의 방법을 보려면 Windows 2000 Server 보안 작업 가이드를 참조하십시오. 이 가이드를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/prodtech/windows/windows2000/staysecure/default.asp
Windows 2000 Server을 안전하고 최신 패치가 적용된 상태로 유지하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/current.asp
또는 Microsoft Security Baseline Analyzer을 사용할 수도 있습니다. Microsoft Security Baseline Analyzer에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/tools/mbsahome.asp

검색

지금까지 Microsoft Windows 2000 Server을 실행 중인 시스템만이 이 공격에 영향을 받는 것으로 보고되었습니다. 고객은 사용 중인 Windows 2000 Server 기반 환경을 검색하여 이 문서의 "기술적 세부 정보" 절에 나와 있는 파일이 존재하는지 확인하는 것이 좋습니다. 그러한 파일 중 일부가 합법적으로 설치되었을 수도 있으므로 고객은 이를 조사하여 그 용도와 의도를 확인해야 합니다.

복구

복구에 대한 도움을 받으려면 원하는 방법으로 Microsoft 고객기술지원부에 문의하십시오. Microsoft 고객기술지원부에 연락하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://support.microsoft.com/

해결 과정

경고?레지스트리 편집기를 잘못 사용하면 심각한 문제가 발생할 수 있으며 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기 사용에 따른 모든 책임은 사용자에게 있습니다.

이 문제를 해결하려면 특정 파일의 이름을 바꾸고 레지스트리를 수정해야 합니다. 이렇게 하려면 다음과 같이 하십시오.

참고?다음 단계는 임시적인 해결책에 불과합니다. 이들 단계는 처음 감염된 결과만 제거하며, 컴퓨터가 처음으로 감염된 이후 추가적으로 컴퓨터에 침투한 바이러스는 제거하지 않습니다. 컴퓨터가 감염되기 전의 정상적인 상태에서 검증된 백업 미디어로 운영 체제를 복원하는 것이 좋으며, 하드 디스크 드라이브를 포맷하고 운영 체제를 다시 설치한 다음 정상적인 상태에서 검증된 백업 미디어로 손실된 데이터를 복원할 수도 있습니다.
  1. Windows 2000 기반 컴퓨터에서 작업 표시줄을 마우스 오른쪽 단추로 누른 다음 작업 관리자를 누릅니다.
  2. 작업 관리자에서 Taskmngr.exe를 선택한 다음 끝내기를 누릅니다.

    참고?반드시 Taskmgr.exe가 아닌 Taskmngr.exe를 선택해야 합니다.
  3. 작업 관리자를 닫습니다.
  4. Microsoft Windows 탐색기에서 \WINNT\System32 폴더를 찾습니다. 파일 이름 끝에 .bak을 입력하여 \WINNT\System32 폴더에 있는 다음 파일들의 이름을 바꿉니다.

    참고?이들 파일 중 일부는 \WINNT\System32 폴더에 없을 수도 있습니다.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat:
    • Ocxdll.exe
    참고?이들 파일의 이름을 바꾸려면 다음과 같이 하십시오.
    1. \WINNT\System32 폴더의 해당 목록에서 임의의 파일을 마우스 오른쪽 단추로 누르고 이름 바꾸기를 누른 다음 파일 이름 끝에 .bak을 입력하고 Enter 키를 누릅니다.

      예를 들어 Nt32.ini를 Nt32.ini.bak으로 변경할 수 있습니다.
    2. 이 목록의 각 파일에 대해 이 단계를 반복합니다.
  5. 시작, 실행을 차례로 누르고 regedit를 입력한 다음 확인을 누릅니다.
  6. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. 다음 레지스트리 하위 키에서 Taskmngr.exe를 나타내는 Rundll32 값을 누르고 삭제를 누릅니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Windows 2000 도메인 컨트롤러가 MIRC 트로이 바이러스에 감염되었으면 Windows 탐색기를 사용하여 Windows 2000 도메인 컨트롤러의 다음 폴더에 있는 GmpTpl.inf 파일을 찾습니다.
    \WINNT\SYSVOL\sysvol\DomainName\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    참고?이 폴더 이름에서 DomainName은 Windows 2000 도메인의 이름입니다.
  9. GmpTpl.inf 파일과 변조된 GmpTpl.inf 파일을 비교합니다. 정상적인 상태에서 검증된 백업 미디어를 사용하거나 다른 Windows 2000 도메인 컨트롤러를 사용하여 변조된 GmpTpl.inf 파일을 복원할 수 있습니다.

    참고?MIRC 트로이 바이러스는 GmpTpl.inf 파일에 있는 SeNetworkLogonRight 값을 변경하거나 추가할 수 있습니다.

이 단계를 완료한 후 최신 바이러스 정의가 포함된 바이러스 백신 소프트웨어를 사용하여 MIRC 트로이 바이러스를 검색하고 제거하는 것이 좋습니다. 그런 다음 원하는 시간에 서버를 포맷한 후 다시 설치하십시오. 서버가 손상되었으므로 이렇게 하는 것이 좋습니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 328691 - 마지막 검토: 2006년 1월 20일 금요일 - 수정: 4.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
키워드:?
kbinfo kbenv kbsechack KB328691

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com