Win32/Conficker 웜에 대한 바이러스 경고

기술 자료 번역 기술 자료 번역
기술 자료: 962007 - 이 문서가 적용되는 제품 보기.
Windows Vista SP1(서비스 팩 1)의 지원이 2011년 7월 12일 자로 종료됩니다. Windows용 보안 업데이트를 계속 받으려면 Windows Vista SP2(서비스 팩2)를 실행하고 있어야 합니다. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오. 일부 Windows 버전에 대한 지원이 종료될 예정입니다.
모두 확대 | 모두 축소

이 페이지에서

요약

이 기술 자료 문서의 정보는 이 문서의 세부 정보를 구현할 수 있는 시스템 관리자가 있는 비즈니스 환경을 대상으로 합니다. 바이러스 백신 프로그램으로 바이러스를 올바르게 치료하고 있는 경우 및 시스템이 완전히 업데이트된 경우에는 이 문서를 사용할 필요가 없습니다. 시스템에 Conficker 바이러스가 없는지 확인하려면 다음 웹 페이지에서 빠른 검사를 수행합니다. http://www.microsoft.com/security/scanner/ko-kr/ Conficker 바이러스에 대한 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

감염 현상

컴퓨터가 이 웜에 감염된 경우 어떠한 현상도 발생하지 않거나 다음 현상이 발생할 수 있습니다.
  • 계정 잠금 정책이 실행되고 있습니다.
  • 자동 업데이트, BITS(Background Intelligent Transfer Service), Windows Defender 및 오류 보고 서비스가 사용되지 않게 설정되어 있습니다.
  • 도메인 컨트롤러가 클라이언트 요청에 느리게 응답합니다.
  • 네트워크가 정체되어 있습니다.
  • 다양한 보안 관련 웹 사이트에 액세스할 수 없습니다.
  • 다양한 보안 관련 도구가 실행되지 않습니다. 알려진 도구 목록을 보려면 다음 Microsoft 웹 페이지를 방문하십시오. 그런 다음 Win32/Conficker.D에 대한 자세한 내용을 보려면 Analysis 탭을 클릭하십시오. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Win32/Conficker에 대한 자세한 내용을 보려면 다음 Microsoft Malware Protection Center 웹 페이지를 방문하십시오.
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

전파 방법

Win32/Conficker는 다음과 같은 여러 가지 방법으로 전파됩니다.
  • 보안 업데이트 958644(MS08-067)에 의해 패치되는 취약성 이용
  • 네트워크 공유 사용
  • 자동 재생 기능 사용
따라서 네트워크를 정리할 때는 이전에 정리한 시스템에 위협 요소가 다시 침투되지 않도록 주의해야 합니다.

참고 Win32/Conficker.D 변종은 네트워크를 통해 이동식 드라이브 또는 공유 폴더로 확산되지 않습니다. Win32/Conficker.D는 Win32/Conficker의 이전 변종에 의해 설치됩니다.

예방 조치

  • 모든 컴퓨터에 고유하고 강력한 관리자 암호를 사용합니다.
  • 도메인 관리자 자격 증명 또는 모든 컴퓨터에 액세스할 수 있는 자격 증명을 사용하여 컴퓨터에 로그온하지 마십시오.
  • 모든 시스템에 최신 보안 업데이트가 적용되었는지 확인합니다.
  • 자동 실행 기능을 사용하지 않도록 설정합니다. 자세한 내용은 "그룹 정책 개체 만들기" 섹션의 3단계를 참조하십시오.
  • 공유 위치에 대한 과도한 권한을 제거합니다. 예를 들어 모든 공유 루트에 대한 쓰기 권한을 제거합니다.

완화 단계

그룹 정책 설정을 사용하여 Win32/Conficker 확산 방지

참고
  • 중요 이 문서에 제안된 대로 변경하기 전에 현재 설정을 문서화해야 합니다.
  • 다음 절차를 수행해도 시스템에서 Conficker 맬웨어가 제거되지는 않으며 맬웨어의 확산을 방지할 뿐입니다. 시스템에서 Conficker 맬웨어를 제거하려면 바이러스 백신 제품을 사용해야 합니다. 또는 이 기술 자료 문서의 "Win32/Conficker 바이러스를 제거하는 수동 단계" 섹션의 단계를 따라 시스템에서 맬웨어를 수동으로 제거하십시오.
  • 다음 단계에서 권장되는 대로 사용 권한을 변경하는 동안 응용 프로그램, 서비스 팩 또는 기타 업데이트를 올바르게 설치하지 못할 수 있습니다. 예를 들어 Windows Update, Microsoft WSUS(Windows Server Update Services) 서버 및 System Center Configuration Manager(Configuration Manager 2007)은 자동 업데이트의 구성 요소를 사용하기 때문에 이러한 제품을 사용하여 업데이트를 적용할 수 없으며 이외에도 다른 설치 문제가 있을 수 있습니다. 시스템을 정리한 후 사용 권한을 다시 기본 설정으로 변경해야 합니다.
  • "그룹 정책 개체 만들기" 섹션에 설명된 Tasks 폴더 및 SVCHOST 레지스트리 키의 기본 사용 권한에 대한 자세한 내용은 이 문서 후반부의 기본 사용 권한 표를 참조하십시오.

그룹 정책 개체 만들기

작업 환경의 요구에 따라 특정 OU(조직 구성 단위), 사이트 또는 도메인의 모든 컴퓨터에 적용되는 새 GPO(그룹 정책 개체)를 만듭니다.

이렇게 하려면 다음과 같이 하십시오.
  1. 다음 레지스트리 하위 키에 대한 쓰기 권한을 제거하는 정책을 설정합니다.
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    이렇게 하면 임의로 명명된 맬웨어 서비스가 netsvcs 레지스트리 값에 생성되는 것을 막을 수 있습니다.

    이렇게 하려면 다음과 같이 하십시오.
    1. GPMC(그룹 정책 관리 콘솔)를 엽니다.
    2. 새 GPO를 만듭니다. 개체에 원하는 이름을 지정합니다.
    3. 새 GPO를 열고 다음 폴더로 이동합니다.
      컴퓨터 구성\Windows 설정\보안 설정\레지스트리
    4. 레지스트리를 마우스 오른쪽 단추로 클릭한 다음 키 추가를 클릭합니다.
    5. 레지스트리 키 선택 대화 상자에서 Machine을 확장한 후 다음 폴더로 이동합니다.
      Software\Microsoft\Windows NT\CurrentVersion
    6. 확인을 클릭합니다.
    7. 열리는 대화 상자에서 AdministratorsSystem 둘 다에 대해 모든 권한 확인란을 클릭하여 선택 취소합니다.
    8. 확인을 클릭합니다.
    9. 개체 추가 대화 상자에서 모든 하위 키의 기존 사용 권한을 상속 가능한 사용 권한으로 바꾸기를 클릭합니다.
    10. 확인을 클릭합니다.
  2. %windir%\Tasks 폴더에 대한 쓰기 권한을 제거하는 정책을 설정합니다. 이렇게 하면 Conficker 맬웨어가 시스템을 재감염시킬 수 있는 예약된 작업을 만들 수 없습니다.

    이렇게 하려면 다음과 같이 하십시오.
    1. 앞에서 만든 GPO에서 다음 폴더로 이동합니다.
      컴퓨터 구성\Windows 설정\보안 설정\파일 시스템
    2. 파일 시스템을 마우스 오른쪽 단추로 클릭하고 파일 추가를 클릭합니다.
    3. 파일이나 폴더 추가 대화 상자에서 %windir%\Tasks 폴더를 찾습니다. 폴더 대화 상자에서 Tasks 폴더가 선택된 채로 나열되어 있는지 확인합니다.
    4. 확인을 클릭합니다.
    5. 열려 있는 대화 상자에서 관리자시스템 모두에 대해 모든 권한, 수정쓰기 확인란을 클릭하여 선택을 취소합니다.
    6. 확인을 클릭합니다.
    7. 개체 추가 대화 상자에서 모든 하위 키의 기존 사용 권한을 상속 가능한 사용 권한으로 바꾸기를 클릭합니다.
    8. 확인을 클릭합니다.
  3. 자동 실행 기능이 사용되지 않도록 설정합니다. 이렇게 하면 Conficker 맬웨어가 Windows에 기본 제공된 자동 실행 기능을 사용하여 확산될 수 없습니다.

    참고 사용 중인 Windows 버전에 따라 자동 실행 기능을 제대로 비활성화하기 위해 설치해야 하는 업데이트가 따로 있습니다.
    • Windows Vista 또는 Windows Server 2008에서 자동 실행 기능을 비활성화하려면 보안 업데이트 950582를 설치해야 합니다(보안 공지 MS08-038에 설명됨).
    • Windows XP, Windows Server 2003 또는 Windows 2000에서 자동 실행 기능을 비활성화하려면 보안 업데이트 950582, 업데이트 967715 또는 업데이트 953252를 설치해야 합니다.
    자동 실행 기능이 사용되지 않도록 설정하려면 다음 단계를 수행합니다.
    1. 앞에서 만든 GPO에서 다음 폴더 중 하나로 이동합니다.
      • Windows Server 2003 도메인의 경우 다음 폴더로 이동합니다.
        컴퓨터 구성\관리 템플릿\시스템
      • Windows 2008 도메인의 경우 다음 폴더로 이동합니다.
        컴퓨터 구성\관리 템플릿\Windows 구성 요소\자동 실행 정책
    2. 자동 실행 사용 안 함 정책을 엽니다.
    3. 자동 실행 사용 안 함 대화 상자에서 사용을 클릭합니다.
    4. 드롭다운 메뉴에서 모든 드라이브를 클릭합니다.
    5. 확인을 클릭합니다.
  4. 그룹 정책 관리 콘솔을 닫습니다.
  5. 새로 만든 GPO를 적용하려는 위치에 해당 GPO를 연결합니다.
  6. 그룹 정책 설정이 모든 컴퓨터로 업데이트될 때까지 충분히 대기합니다. 일반적으로 그룹 정책 복제가 각 도메인 컨트롤러로 복제를 수행하는 데 5분 정도 걸리고 시스템의 나머지 부분으로 복제를 수행하는 데 90분 정도 걸립니다. 따라서 두 시간 정도면 충분합니다. 그러나 작업 환경에 따라 더 많은 시간이 소요될 수도 있습니다.
  7. 그룹 정책 설정을 전파한 후에는 시스템에서 맬웨어를 제거하십시오.

    이렇게 하려면 다음과 같이 하십시오.
    1. 모든 컴퓨터에서 전체 바이러스 백신 검색을 실행하십시오.
    2. 바이러스 백신 소프트웨어가 Conficker를 검색하지 못하면 Microsoft Safety Scanner를 사용하여 맬웨어를 제거할 수 있습니다. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오. http://www.microsoft.com/security/scanner/ko-kr/참고 맬웨어로 인한 모든 영향을 제거하기 위해 몇 가지 수동 단계를 수행해야 할 수 있습니다. 이 문서의 "Win32/Conficker 바이러스를 제거하는 수동 단계" 섹션에 나열된 단계를 검토하여 맬웨어의 영향을 모두 제거하는 것이 좋습니다.

복구

Microsoft Safety Scanner 실행

Microsoft Malware Protection Center에서는 Microsoft Safety Scanner를 업데이트했습니다. 이 도구는 자주 발생하는 악성 소프트웨어를 제거하는 데 유용한 독립 실행형 이진 파일로, Win32/Conficker 맬웨어 제품군을 제거하는 데 도움이 될 수 있습니다.

참고 Microsoft Safety Scanner는 실시간 바이러스 백신 프로그램이 아니기 때문에 재감염을 방지하지 않습니다.

Microsoft Safety Scanner는 다음 Microsoft 웹 사이트에서 다운로드할 수 있습니다.
http://www.microsoft.com/security/scanner/ko-kr/

참고 독립 실행형 시스템 스위퍼 도구로도 이 감염을 제거할 수 있습니다. 이 도구는 Microsoft Desktop Optimization Pack 6.0의 구성 요소로 사용하거나 고객 지원 서비스를 통해 제공 받을 수 있습니다. Microsoft Desktop Optimization Pack을 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/ko-kr/windows/enterprise/products-and-technologies/mdop/default.aspx
시스템에서 Microsoft Security Essentials 또는 Microsoft Forefront Client Security가 실행되고 있으면 위협 요소가 침투하기 전에 차단됩니다.

Win32/Conficker 바이러스를 제거하는 수동 단계

참고
  • 이 수동 단계는 더 이상 필요하지 않으며, Conficker 바이러스를 제거하는 바이러스 백신 소프트웨어가 없을 경우에만 사용해야 합니다.
  • 컴퓨터에 침투한 Win32/Conficker 변종에 따라 이 섹션에 참조된 이 값 중 일부는 바이러스에 의해 변경되지 않았을 수 있습니다.
다음 세부 단계를 수행하여 시스템에서 Conficker를 수동으로 제거할 수 있습니다.
  1. 로컬 계정을 사용하여 시스템에 로그온합니다.

    중요 가능한 경우에도 도메인 계정을 사용하여 시스템에 로그온하지 마십시오. 특히, 도메인 관리자 계정을 사용하여 로그온하는 경우는 피하십시오. 맬웨어는 로그온된 사용자 자격 증명을 사용하여 로그온한 사용자를 가장하고 네트워크 리소스에 액세스하기 때문입니다. 이러한 동작으로 인해 맬웨어가 확산될 수 있습니다.
  2. 서버 서비스를 중지합니다. 이렇게 하면 시스템에서 관리 공유가 제거되므로 맬웨어가 관리 공유를 통해 확산될 수 없게 됩니다.

    참고 서버 서비스는 사용자 환경에서 맬웨어를 정리하는 동안에만 일시적으로 비활성화해야 합니다. 서버 서비스를 사용할 수 없게 설정하면 네트워크 리소스의 가용성에 영향을 주므로 프로덕션 서버에서는 즉시 다시 설정해야 합니다. 환경이 정리되면 서버 서비스를 사용 가능하게 다시 설정할 수 있습니다.

    서버 서비스를 중지하려면 서비스 MMC(Microsoft Management Console)를 사용합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 사용 중인 시스템에 따라 다음을 수행하십시오.
      • Windows Vista 및 Windows Server 2008에서 시작을 클릭하고 검색 시작 상자에 services.msc를 입력한 후 프로그램 목록에서 services.msc를 클릭합니다.
      • Windows 2000, Windows XP 및 Windows Server 2003의 경우 시작, 실행을 차례로 클릭한 후 services.msc를 입력하고 확인을 클릭합니다.
    2. 서버를 두 번 클릭합니다.
    3. 중지를 클릭합니다.
    4. 시작 유형 상자에서 사용 안 함을 선택합니다.
    5. 적용을 클릭합니다.
  3. 모든 AT 생성 예약 작업을 제거합니다. 이렇게 하려면 명령 프롬프트에 AT /Delete /Yes를 입력합니다.
  4. 작업 스케줄러 서비스를 중지합니다.
    • Windows 2000, Windows XP 및 Windows Server 2003에서 작업 스케줄러 서비스를 중지하려면 서비스 MMC(Microsoft Management Console) 또는 SC.exe 유틸리티를 사용합니다.
    • Windows Vista 또는 Windows Server 2008에서 작업 스케줄러 서비스를 중지하려면 다음 단계를 따르십시오.

      중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
      322756 Windows에서 레지스트리를 백업 및 복원하는 방법
      1. 시작을 클릭하고 검색 시작 상자에 regedit를 입력한 다음 프로그램 목록에서 regedit.exe를 클릭합니다.
      2. 다음 레지스트리 하위 키를 찾아서 클릭합니다.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. 세부 정보 창에서 Start DWORD 항목을 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
      4. 값 데이터 상자에 4을 입력한 다음 확인을 클릭합니다.
      5. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.

        참고 작업 스케줄러 서비스는 사용자 환경에서 맬웨어를 정리하는 동안에만 일시적으로 비활성화해야 합니다. 이 단계는 다양한 기본 예약된 작업에 영향을 주므로 Windows Vista 및 Windows Server 2008에서는 특히 이 서비스를 비활성화해야 합니다. 환경이 정리되면 서버 서비스를 사용하도록 다시 설정합니다.
  5. 보안 업데이트 958644(MS08-067)를 다운로드한 후 수동으로 설치합니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
    http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx
    참고 이 사이트는 맬웨어 감염 때문에 차단될 수 있습니다. 이 시나리오에서는 감염되지 않은 컴퓨터에서 업데이트를 다운로드한 후 업데이트 파일을 감염된 시스템으로 전송해야 합니다. 구운 CD는 쓰기 불가능하므로 업데이트를 CD로 구울 것을 권장합니다. 따라서 이 CD는 감염될 수 없습니다. 기록 가능 CD 드라이브는 사용할 수 없으므로 이동식 USB 메모리 드라이브가 감염된 시스템으로 업데이트를 복사하는 유일한 방법일 수 있습니다. 이동식 드라이브를 사용할 경우 맬웨어가 Autorun.inf 파일이 있는 드라이브에 감염될 수 있다는 사실을 알아야 합니다. 이동식 드라이브에 업데이트를 복사한 후에는 드라이브를 읽기 전용 모드로 변경하는 옵션이 있는 경우 이 옵션을 실행해야 합니다. 읽기 전용 모드를 사용할 수 있는 경우 일반적으로 장치의 실제 스위치를 사용하여 설정합니다. 그런 후 업데이트 파일을 감염된 컴퓨터에 복사하고 이동식 드라이브를 확인하여 Autorun.inf 파일이 드라이브에 기록되었는지 검토합니다. Autorun.inf 파일이 기록되었으면 이동식 드라이브가 컴퓨터에 연결될 때 실행될 수 없도록 Autorun.bad와 같은 다른 이름으로 바꾸십시오.
  6. Local Admin 및 Domain Admin 암호를 다시 설정하여 강력한 새 암호를 사용합니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
    http://technet.microsoft.com/ko-kr/library/cc875814.aspx
  7. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. 세부 정보 창에서 netsvcs 항목을 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
  9. 컴퓨터가 Win32/Conficker 바이러스에 감염된 경우 무작위 서비스 이름이 나열됩니다.

    참고 Win32/Conficker.B에 감염된 경우 서비스 이름이 무작위 문자로 목록 맨 아래에 표시되었습니다. 그 이후 변종의 경우 서비스 이름이 목록의 어느 위치에나 있을 수 있으며 더 합법적으로 보일 수 있습니다. 무작위 서비스 이름이 맨 아래에 있지 않을 경우 이 절차의 "서비스 표"와 사용자 시스템을 비교하여 Win32/Conficker에 의해 추가되었을 수 있는 서비스 이름을 확인합니다. 확인하려면 "서비스 표"의 목록과 감염되지 않은 것으로 알려진 유사 시스템을 비교합니다.

    맬웨어 서비스 이름을 적어두십시오. 이 절차 뒷부분에서 이 정보가 필요합니다.
  10. 맬웨어 서비스에 대한 참조를 포함하는 줄을 삭제합니다. 마지막에 나열된 적법한 항목 아래에 빈 줄 바꿈을 넣은 후 확인을 클릭합니다.

    서비스 표에 대한 참고 사항
    • 굵게 강조 표시된 항목을 제외하고 서비스 표의 모든 항목은 유효한 항목입니다.
    • 굵게 강조 표시된 항목은 Win32/Conficker 바이러스로 인해 SVCHOST 레지스트리 키의 netsvcs 값에 추가될 수 있는 항목의 예입니다.
    • 시스템에 설치된 항목에 따라 이 목록은 전체 서비스 목록이 아닐 수 있습니다.
    • 이 서비스 표는 기본 Windows 설치에 해당하는 서비스 표입니다.
    • Win32/Conficker 바이러스로 인해 목록에 추가되는 항목은 혼란화 기술입니다. 첫 번째 문자가 비슷해 보이는, 강조 표시된 악성 항목은 "L"의 소문자입니다. 그러나 사실 이 문자는 대문자 "I"입니다. 운영 체제에서 사용되는 글꼴 때문에 대문자 "I"는 "L"의 소문자처럼 보입니다.

    서비스 표

    표 축소표 확대
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    ThemesThemesBrowserAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcBrowserIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservThemesSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiThemes
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    browserProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcbrowserxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. 이전 절차에서 맬웨어 서비스 이름을 적어두었습니다. 이 예에서 맬웨어 항목 이름은 "Iaslogon"였습니다. 이 정보를 사용하여 다음과 같이 하십시오.
    1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 클릭합니다. 여기서 BadServiceName은 맬웨어 서비스의 이름입니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      예를 들어 다음 레지스트리 키를 찾아서 클릭합니다.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. 탐색 창에서 맬웨어 서비스 이름에 대한 하위 키를 마우스 오른쪽 단추로 클릭한 후 사용 권한을 클릭합니다.
    3. SvcHost의 사용 권한 대화 상자에서 고급을 클릭합니다.
    4. 보안 고급 설정 대화 상자에서
      부모 개체가 가진 사용 권한을 자식 개체에 적용 (여기에서 새로 설정한 권한 포함) 확인란과

      여기에 표시된 권한으로 자식 개체 권한 바꾸기 확인란을 모두 클릭하여 선택합니다.
  12. F5 키를 눌러 레지스트리 편집기를 업데이트합니다. 이제 세부 정보 창에서 "ServiceDll"로 로드된 맬웨어 DLL을 보고 편집할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.
    1. ServiceDll 항목을 두 번 클릭합니다.
    2. 참조된 DLL의 경로를 적어둡니다. 이 절차 뒷부분에서 이 정보가 필요합니다. 예를 들어 참조된 DLL의 경로는 다음과 유사할 수 있습니다.
       %SystemRoot%\System32\doieuln.dll
      다음과 같이 참조 이름을 바꿉니다.
       %SystemRoot%\System32\doieuln.old
    3. 확인을 클릭합니다.
  13. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거합니다.
    1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. 두 하위 키에서 "rundll32.exe"로 시작하고 12b단계에서 식별한 "ServiceDll"로 로드된 맬웨어 DLL을 참조하는 항목을 찾습니다. 이 항목을 삭제합니다.
    3. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.
  14. 시스템의 드라이브에 Autorun.inf 파일이 있는지 확인합니다. 메모장을 사용하여 각 파일을 연 후 유효한 Autorun.inf 파일인지 확인합니다. 다음은 전형적인 유효한 Autorun.inf 파일의 예입니다.
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    유효한 Autorun.inf의 크기는 일반적으로 1-2KB입니다.
  15. 올바르지 않은 것으로 보이는 Autorun.inf 파일을 삭제합니다.
  16. 컴퓨터를 다시 시작합니다.
  17. 숨김 파일을 보이게 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력합니다.
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. 이 파일이 보이도록 숨김 파일 및 폴더 표시를 설정합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 12b단계에서 맬웨어에 대한 참조된 .dll 파일의 경로를 적어 두었습니다. 예를 들어 다음과 비슷한 경로를 적어 두었을 것입니다.
      %systemroot%\System32\doieuln.dll
      Windows 탐색기에서 %systemroot%\System32 디렉터리 또는 맬웨어가 들어 있는 디렉터리를 엽니다.
    2. 도구를 클릭한 다음 폴더 옵션을 클릭합니다.
    3. 보기 탭을 클릭합니다.
    4. 숨김 파일 및 폴더 표시 확인란을 선택합니다.
    5. 확인을 클릭합니다.
  19. .dll 파일을 선택합니다.
  20. Everyone에 대해 모든 권한을 추가하려면 파일에 대한 사용 권한을 편집합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. .dll 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    2. 보안 탭을 클릭합니다.
    3. Everyone을 클릭한 후 허용 열에서 모든 권한 확인란을 클릭하여 선택합니다.
    4. 확인을 클릭합니다.
  21. 맬웨어에 대한 참조된 .dll 파일을 삭제합니다. 예를 들어 %systemroot%\System32\doieuln.dll 파일을 삭제합니다.
  22. 서비스 MMC(Microsoft Management Console)를 사용하여 BITS, 자동 업데이트, 오류 보고 및 Windows Defender 서비스를 사용하도록 설정합니다.
  23. Autorun을 해제하여 재감염 가능성을 줄입니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 사용 중인 시스템에 따라 다음 업데이트 중 하나를 설치합니다.
      • Windows 2000, Windows XP 또는 Windows Server 2003을 실행 중인 경우 업데이트 967715를 설치합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        967715 Windows에서 자동 실행 기능을 비활성화하는 방법
      • Windows Vista 또는 Windows Server 2008을 실행 중인 경우 보안 업데이트 950582를 설치합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
        950582 MS08-038: Windows Explorer의 취약성으로 인한 원격 코드 실행 문제
      참고 업데이트 967715 및 보안 업데이트 950582는 이 맬웨어 문제와 관련이 없습니다. 23b단계에서 레지스트리 기능을 사용하도록 설정하기 위해 이러한 업데이트를 설치해야 합니다.
    2. 명령 프롬프트에 다음 명령을 입력합니다.
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f
  24. 시스템에서 Windows Defender를 실행 중인 경우 Windows Defender 자동 시작 위치를 다시 사용 가능하게 설정합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력합니다.
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide" /f
  25. Windows Vista 이상 운영 체제의 경우 맬웨어는 TCP 수신 창 자동 조정에 대한 전역 설정을 사용 불가능하게 변경합니다. 이 설정을 다시 변경하려면 명령 프롬프트에 다음 명령을 입력합니다.
    netsh interface tcp set global autotuning=normal
이 절차를 완료한 후에 컴퓨터가 재감염된 것처럼 나타날 경우 다음 상황 중 하나일 수 있습니다.
  • 자동 시작 위치 중 하나가 제거되지 않았습니다. 예를 들어 AT 작업이 제거되지 않았거나 Autorun.inf 파일이 제거되지 않았습니다.
  • MS08-067용 보안 업데이트가 제대로 설치되지 않았습니다.
이 맬웨어는 이 문서에서 다루지 않은 다른 설정을 변경할 수 있습니다. Win32/Conficker에 대한 최신 세부 정보를 보려면 다음 Microsoft Malware Protection Center 웹 페이지를 방문하십시오.
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

시스템이 정리되었는지 확인

다음 서비스가 시작되었는지 확인하십시오.
  • 자동 업데이트(wuauserv)
  • BITS(Background Intelligent Transfer Service)
  • Windows Defender(windefend)(적용 가능한 경우)
  • Windows 오류 보고 서비스
이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령 다음에 Enter 키를 누릅니다.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

각 명령이 실행된 후에 다음과 비슷한 메시지가 표시됩니다.
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
이 예에서 "STATE : 4 RUNNING"은 서비스가 실행되고 있음을 나타냅니다.

SvcHost 레지스트리 하위 키의 상태를 확인하려면 다음과 같이 하십시오.
  1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. 세부 정보 창에서 netsvcs를 두 번 클릭한 후 나열된 서비스 이름을 검토합니다. 목록 맨 아래로 스크롤합니다. 컴퓨터가 Conficker에 재감염된 경우 무작위 서비스 이름이 나열됩니다. 예를 들어 이 절차에서는 맬웨어 서비스 이름이 "Iaslogon"입니다.
이러한 작업으로 문제를 해결할 수 없으면 바이러스 백신 소프트웨어 공급업체에 문의하십시오. 이 문제에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
49500 바이러스 백신 소프트웨어 공급업체 목록
바이러스 백신 소프트웨어 공급업체가 없거나 바이러스 백신 소프트웨어 공급업체가 도움을 줄 수 없는 경우 Microsoft 기술 지원 서비스에 문의하십시오.

환경 정리가 완료된 경우

환경 정리 작업이 완료되었으면 다음 단계를 수행합니다.
  1. 서버 서비스 및 작업 스케줄러 서비스를 다시 사용하도록 설정합니다.
  2. SVCHOST 레지스트리 키 및 Tasks 폴더에 대한 기본 사용 권한을 복원합니다. 기본 사용 권한은 그룹 정책 설정을 사용하여 기본 설정으로 되돌려야 합니다. 정책이 제거된 경우에는 기본 사용 권한을 복원하지 못할 수 있습니다. 자세한 내용은 "완화 단계" 섹션의 기본 사용 권한 표를 참조하십시오.
  3. 누락된 보안 업데이트를 설치하여 컴퓨터를 업데이트합니다. 이렇게 하려면 Windows Update, WSUS(Microsoft Windows Server Update Services) 서버, SMS(Systems Management Server), System Center Configuration Manager(Configuration Manager 2007) 또는 타사 업데이트 관리 제품을 사용합니다. SMS 또는 Configuration Manager 2007을 사용할 경우 먼저 서버 서비스를 다시 사용하도록 설정해야 합니다. 그렇지 않은 경우 시스템을 업데이트하기 위해 SMS 또는 Configuration Manager 2007을 사용하지 않도록 설정할 수 있습니다.

감염된 시스템 식별

Conficker에 감염된 시스템을 식별하는 데 문제가 있을 경우 다음 TechNet 블로그에 제공된 세부 정보를 참조하십시오.
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

기본 사용 권한 표

다음 표에서는 각 운영 체제에 대한 기본 사용 권한을 보여 줍니다. 이 문서에서 권장하는 변경 내용을 적용하기 전에 기본적으로 이러한 사용 권한이 설정되어 있습니다. 그러나 이 사용 권한은 사용자 환경에 설정되어 있는 사용 권한과 다를 수 있습니다. 그러므로 변경하기 전에 사용자의 설정을 적어 두어야 합니다. 시스템을 정리한 후 사용자의 설정을 복원할 수 있도록 적어 두는 것입니다.
표 축소표 확대
운영 체제 Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
설정Svchost 레지스트리Tasks 폴더Svchost 레지스트리Tasks 폴더Svchost 레지스트리Tasks 폴더Svchost 레지스트리Tasks 폴더Svchost 레지스트리Tasks 폴더
계정
Administrators(로컬 그룹)모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한
System모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한모든 권한
Power Users(로컬 그룹)해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음읽기해당 사항 없음읽기해당 사항 없음읽기해당 사항 없음
Users(로컬 그룹)특수 해당 사항 없음특수해당 사항 없음읽기해당 사항 없음읽기해당 사항 없음읽기해당 사항 없음
적용 대상: 이 키 및 하위 키적용 대상: 이 키 및 하위 키
값 쿼리값 쿼리
하위 키 열거하위 키 열거
알림알림
읽기 제어읽기 제어
인증된 사용자해당 사항 없음특수해당 사항 없음특수해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음
적용 대상: 이 폴더만적용 대상: 이 폴더만
폴더 트래버스폴더 트래버스
폴더 열거폴더 열거
특성 읽기특성 읽기
확장 특성 읽기확장 특성 읽기
파일 만들기파일 만들기
사용 권한 읽기사용 권한 읽기
Backup Operators(로컬 그룹)해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음특수해당 사항 없음특수
적용 대상: 이 폴더만적용 대상: 이 폴더만
폴더 트래버스폴더 트래버스
폴더 열거폴더 열거
특성 읽기특성 읽기
확장 특성 읽기확장 특성 읽기
파일 만들기파일 만들기
사용 권한 읽기사용 권한 읽기
모든 사람해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음해당 사항 없음특수
적용 대상: 이 폴더, 하위 폴더 및 파일
폴더 트래버스
폴더 열거
특성 읽기
확장 특성 읽기
파일 만들기
폴더 만들기
특성 쓰기
확장 특성 쓰기
사용 권한 읽기

추가 도움말

? 이 문제에 대해 도움이 필요한 경우 미국에 거주하는 고객은 Answer Desk에서 직접 담당자와 대화할 수 있습니다.?
Answer Desk
참고 이것은 Microsoft 기술 지원 서비스 내에서 직접 작성한 “빠른 게시” 문서입니다. 여기에 포함된 정보는 발생한 문제에 대해 있는 그대로 제공됩니다. 이 문서는 즉시 참조할 수 있도록 빠르게 작성되어서 표기상의 오류가 포함되어 있을 수 있고 언제든지 예고 없이 수정될 수 있습니다. 기타 고려 사항은사용 약관을 참조하십시오. 정보

속성

기술 자료: 962007 - 마지막 검토: 2013년 1월 16일 수요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 3?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 서비스 팩 4?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
키워드:?
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com