블래스터 웜 및 변형에 대한 바이러스 경고

  • 아티클

이 문서에서는 Blaster 웜 및 변형에 대한 바이러스 경고를 설명하고 Blaster 웜 및 변형의 감염을 예방하고 복구하는 방법에 대한 정보를 포함합니다.

적용 대상: Windows 10 - 모든 버전, Windows Server 2012 R2
원래 KB 번호: 826955

요약

2003년 8월 11일, Microsoft는 Microsoft PSS(제품 지원 서비스)에서 보고한 웜을 조사하기 시작했으며 Microsoft PSS 보안 팀은 고객에게 새 웜에 대해 알리는 경고를 발표했습니다. 웜은 일반적으로 사용자 작업 없이 확산되고 네트워크(예: 인터넷)에 자체의 전체 복사본(수정 가능)을 배포하는 컴퓨터 바이러스의 한 유형입니다. "Blaster"라고 하는 이 새로운 웜은 Microsoft 보안 게시판 MS03-026(823980)에서 해결한 취약성을 악용하여 이 문서의 시작 부분에 나열된 제품을 실행하는 컴퓨터에서 열린 RPC(원격 프로시저 호출) 포트를 사용하여 네트워크를 통해 자신을 분산합니다.

이 문서에는 차단 방법 및 Blaster 웜 및 변형에서 감염으로부터 복구하는 방법에 대한 네트워크 관리자 및 IT 전문가를 위한 정보가 포함되어 있습니다. 웜과 변형을 W32라고도 합니다. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (시만텍), W32/Lovsan.worm (McAfee), WORM_MSBLAST. (Trendmicro) 및 Win32.Posa.Worm(컴퓨터 어소시에이츠). 이 웜에서 복구하는 방법에 대한 자세한 내용은 바이러스 백신 소프트웨어 공급업체에 문의하세요.

바이러스 백신 소프트웨어 공급업체에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

49500 바이러스 백신 소프트웨어 공급업체 목록

가정용 사용자인 경우 다음 Microsoft 웹 사이트를 방문하여 컴퓨터를 보호하고 컴퓨터가 Blaster 웜에 감염된 경우 복구하는 단계를 참조하세요.

Microsoft Security Essentials란?

참고

  • 2003년 8월 11일(이 웜이 발견된 날짜) 이전에 823980 보안 패치(MS03-026)를 설치한 경우 컴퓨터는 Blaster 웜에 취약하지 않습니다. 2003년 8월 11일 이전에 823980 보안 패치(MS03-026)를 설치한 경우에는 다른 작업을 수행할 필요가 없습니다.

  • Microsoft는 Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP 및 Windows Server 2003을 테스트하여 Microsoft 보안 게시판 MS03-026(823980)이 해결하는 취약성의 영향을 받는지 여부를 평가했습니다. Windows Millennium Edition에는 이러한 취약성과 관련된 기능이 포함되어 있지 않습니다. 이전 버전은 더 이상 지원되지 않으며 이러한 취약성의 영향을 받거나 영향을 받지 않을 수 있습니다. Microsoft 지원 수명 주기에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

    제품 및 서비스 수명 주기 정보를 검색합니다.

    DCOM이 설치된 경우에도 이러한 취약성과 관련된 기능은 Windows 95, Windows 98 또는 Windows 98 Second Edition에도 포함되지 않습니다. 이러한 버전의 Windows를 사용하는 경우에는 아무 것도 수행할 필요가 없습니다.

  • Windows XP 서비스 팩 2 또는 Windows 2000 서비스 팩 4용 업데이트 롤업 1을 설치한 경우 컴퓨터가 Blaster 웜에 취약하지 않습니다. 보안 업데이트 824146 이러한 서비스 팩에 포함되어 있습니다. 이러한 서비스 팩을 설치한 경우에는 다른 작업을 수행할 필요가 없습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    322389 최신 Windows XP 서비스 팩을 가져오는 방법입니다.

감염 증상

컴퓨터가 이 웜에 감염된 경우 증상이 발생하지 않거나 다음 증상이 발생할 수 있습니다.

  • 다음과 같은 오류 메시지가 표시될 수 있습니다.

    RPC(원격 프로시저 호출) 서비스가 예기치 않게 종료되었습니다.
    시스템이 종료되고 있습니다. 진행 중인 모든 작업을 저장하고 로그오프합니다.
    저장되지 않은 변경 내용은 손실됩니다.
    이 종료는 NT AUTHORITY\SYSTEM에 의해 시작되었습니다.

  • 컴퓨터가 임의 간격으로 종료되거나 반복적으로 다시 시작될 수 있습니다.

  • Windows XP 기반 또는 Windows Server 2003 기반 컴퓨터에서 문제를 Microsoft에 보고하는 옵션을 제공하는 대화 상자가 나타날 수 있습니다.

  • Windows 2000 또는 Windows NT 사용하는 경우 중지 오류 메시지가 표시될 수 있습니다.

  • Windows\System32 폴더에서 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll 파일을 찾을 수 있습니다.

  • 컴퓨터에서 비정상적인 TFTP* 파일을 찾을 수 있습니다.

기술 세부 정보

이 웜이 컴퓨터에 적용한 변경 내용에 대한 기술 세부 정보는 바이러스 백신 소프트웨어 공급업체에 문의하세요.

이 바이러스를 검색하려면 Windows\System32 폴더에서 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll 파일을 검색하거나 바이러스 백신 공급업체에서 최신 바이러스 백신 소프트웨어 서명을 다운로드한 다음 컴퓨터를 검사합니다.

이러한 파일을 검색하려면 다음을 수행합니다.

  1. 시작을 클릭하고 실행을 클릭하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.

  2. 명령 프롬프트에서 를 입력 dir %systemroot%\system32\filename.ext /a /s한 다음 Enter 키를 누릅니다. 여기서 filename.ext 가 Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 또는 Yuetyutr.dll.

    참고

    Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll 및 Yuetyutr.dll 각 파일 이름에 대해 2단계를 반복합니다. 이러한 파일을 찾으면 컴퓨터가 웜에 감염되었을 수 있습니다. 이러한 파일 중 하나를 찾으면 파일을 삭제한 다음 이 문서의 "복구" 섹션에 있는 단계를 수행합니다. 파일을 삭제하려면 명령 프롬프트에 를 입력 del %systemroot%\system32\filename.ext /a 한 다음 Enter 키를 누릅니다.

예방

이 바이러스가 컴퓨터를 감염시키는 것을 방지하려면 다음 단계를 수행합니다.

  1. Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003에서 ICF(인터넷 연결 방화벽 기능)를 켜거나 Enterprise Edition 기본 방화벽, MICROSOFT ISA(인터넷 보안 및 가속) 서버 2000 또는 타사 방화벽을 사용하여 TCP 포트 135, 139, 445 및 593을 차단합니다. UDP 포트 69(TFTP), 135, 137 및 138; 및 원격 명령 셸에 대한 TCP 포트 4444입니다.

    Windows XP 또는 Windows Server 2003에서 ICF를 켜려면 다음 단계를 수행합니다.

    1. 시작을 클릭하고 제어판을 클릭합니다.
    2. 제어판네트워킹 및 인터넷 Connections 두 번 클릭한 다음 네트워크 Connections 클릭합니다.
    3. 인터넷 연결 방화벽을 켜려는 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    4. 고급 탭을 클릭한 다음 인터넷 검사 상자에서 이 컴퓨터에 대한 액세스를 제한하거나 차단하여 내 컴퓨터 또는 네트워크 보호를 선택합니다.

    참고

    일부 전화 접속 연결은 네트워크 연결 폴더에 표시되지 않을 수 있습니다. 예를 들어 AOL 및 MSN 전화 접속 연결이 표시되지 않을 수 있습니다. 경우에 따라 다음 단계를 사용하여 네트워크 연결 폴더에 표시되지 않는 연결에 대해 ICF를 설정할 수 있습니다. 이러한 단계가 작동하지 않는 경우 인터넷 연결을 방화벽으로 만드는 방법에 대한 자세한 내용은 ISP(인터넷 서비스 공급자)에 문의하세요.

    1. 인터넷 Explorer 시작합니다.
    2. 도구 메뉴에서 인터넷 옵션을 클릭합니다.
    3. Connections 탭을 클릭하고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 클릭한 다음 설정을 클릭합니다.
    4. 전화 접속 설정 영역에서 속성을 클릭합니다.
    5. 고급 탭을 클릭한 다음 인터넷 검사 상자에서 이 컴퓨터에 대한 액세스를 제한하거나 차단하여 내 컴퓨터 또는 네트워크 보호를 선택합니다.

    Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 켜는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    283673 Windows XP에서 방화벽을 켜거나 끄는 방법

    참고

    ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003에서만 사용할 수 Enterprise Edition. 기본 방화벽은 라우팅 및 원격 액세스와 Windows Server 2003 제품군의 멤버를 모두 실행하는 컴퓨터의 모든 공용 인터페이스에 대해 사용하도록 설정할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.

  2. 이 웜은 이전에 발표된 취약성을 감염 방법의 일부로 사용합니다. 이 때문에 Microsoft 보안 게시판 MS03-026에서 식별되는 취약성을 해결하기 위해 모든 컴퓨터에 823980 보안 패치를 설치했는지 확인해야 합니다. 824146 보안 패치는 823980 보안 패치를 대체합니다. Microsoft는 Microsoft 보안 게시판 MS03-026(823980)에서 해결된 문제에 대한 수정 사항도 포함하는 824146 보안 패치를 설치하는 것이 좋습니다.

  3. 바이러스 백신 공급업체의 최신 바이러스 감지 서명을 사용하여 새로운 바이러스 및 해당 변형을 검색합니다.

복구

보안 모범 사례는 이전에 손상된 컴퓨터에 완전한 "클린" 설치를 수행하여 향후 손상될 수 있는 발견되지 않은 악용을 제거하는 것이 좋습니다. 자세한 내용은 다음 Cert Advisory 웹 사이트를 참조하세요.

UNIX 또는 NT 시스템 손상에서 복구하는 단계입니다.

그러나 많은 바이러스 백신 회사는 이 특정 웜과 관련된 알려진 악용을 제거하는 도구를 작성했습니다. 바이러스 백신 공급업체에서 제거 도구를 다운로드하려면 운영 체제에 따라 다음 절차를 따르세요.

Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003용 복구, Enterprise Edition

  1. Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003에서 ICF(인터넷 연결 방화벽 기능)를 켜거나 Enterprise Edition 기본 방화벽, MICROSOFT ISA(인터넷 보안 및 가속) 서버 2000 또는 타사 방화벽을 사용합니다.

    ICF를 켜려면 다음 단계를 수행합니다.

    1. 시작을 클릭하고 제어판을 클릭합니다.
    2. 제어판네트워킹 및 인터넷 Connections 두 번 클릭한 다음 네트워크 Connections 클릭합니다.
    3. 인터넷 연결 방화벽을 켜려는 연결을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
    4. 고급 탭을 클릭한 다음 인터넷 검사 상자에서 이 컴퓨터에 대한 액세스를 제한하거나 차단하여 내 컴퓨터 또는 네트워크 보호를 선택합니다.

    참고

    • 이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복적으로 다시 시작되는 경우 방화벽을 켜기 전에 인터넷에서 연결을 끊습니다. 광대역 연결을 통해 인터넷에 연결하는 경우 외부 DSL 또는 케이블 모뎀에서 실행되는 케이블을 찾은 다음 모뎀 또는 전화 잭에서 해당 케이블을 분리합니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내 모뎀에서 전화 잭까지 실행되는 전화 케이블을 찾은 다음 전화 잭 또는 컴퓨터에서 해당 케이블을 분리합니다. 인터넷에서 연결을 끊을 수 없는 경우 명령 프롬프트에 다음 줄을 입력하여 서비스가 실패할 때 컴퓨터를 다시 시작하지 않도록 RPCSS를 구성합니다 sc failure rpcss reset= 0 actions= restart.

      이러한 단계를 완료한 후 RPCSS를 기본 복구 설정으로 다시 설정하려면 명령 프롬프트 sc failure rpcss reset= 0 actions= reboot/60000에 다음 줄을 입력합니다.

    • 둘 이상의 컴퓨터가 인터넷 연결을 공유하는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마세요. Windows XP를 실행하는 경우 네트워크 설정 마법사를 사용하여 ICF를 켭니다.

    • 방화벽을 사용하는 것은 전자 메일 서비스 또는 웹 검색에 영향을 미치지 않지만 방화벽은 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 않도록 설정할 수 있습니다. 이 동작이 발생하는 경우 일부 인터넷 기능이 작동하려면 방화벽에서 일부 포트를 열어야 할 수 있습니다. 열어야 하는 포트를 결정하기 위해 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하세요. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하세요.

    • 경우에 따라 다음 단계를 사용하여 네트워크 Connections 폴더에 표시되지 않는 연결에 대해 ICF를 켤 수 있습니다. 이러한 단계가 작동하지 않는 경우 인터넷 연결을 방화벽으로 만드는 방법에 대한 자세한 내용은 ISP(인터넷 서비스 공급자)에 문의하세요.

      1. 인터넷 Explorer 시작합니다.
      2. 도구 메뉴에서 인터넷 옵션을 클릭합니다.
      3. Connections 탭을 클릭하고 인터넷에 연결하는 데 사용하는 전화 접속 연결을 클릭한 다음 설정을 클릭합니다.
      4. 전화 접속 설정 영역에서 속성을 클릭합니다.
      5. 고급 탭을 클릭한 다음 인터넷 검사 상자에서 이 컴퓨터에 대한 액세스를 제한하거나 차단하여 내 컴퓨터 또는 네트워크 보호를 선택합니다.

    Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 켜는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    283673 Windows XP에서 방화벽을 켜거나 끄는 방법

    참고

    ICF는 Windows XP, Windows Server 2003, Standard Edition 및 Windows Server 2003에서만 사용할 수 Enterprise Edition. 기본 방화벽은 라우팅 및 원격 액세스를 실행하고 Windows Server 2003 제품군의 구성원인 컴퓨터의 모든 공용 인터페이스에 대해 사용하도록 설정할 수 있는 라우팅 및 원격 액세스의 구성 요소입니다.

  2. 824146 보안 패치를 다운로드한 다음 모든 컴퓨터에 설치하여 Microsoft 보안 게시판 MS03-026 및 MS03-039에서 식별된 취약성을 해결합니다.

    참고

    824146 보안 패치가 823980 보안 패치를 대체합니다. Microsoft는 Microsoft 보안 게시판 MS03-026(823980)에서 해결된 문제에 대한 수정 사항도 포함하는 824146 보안 패치를 설치하는 것이 좋습니다.

  3. 바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검사를 실행합니다.

  4. 바이러스 백신 공급업체에서 웜 제거 도구를 다운로드하여 실행합니다.

Windows 2000 및 Windows NT 4.0용 복구

인터넷 연결 방화벽 기능은 Windows 2000 또는 Windows NT 4.0에서 사용할 수 없습니다. Microsoft ISA(인터넷 보안 및 가속) 서버 2000 또는 타사 방화벽을 사용하여 TCP 포트 135를 차단할 수 없는 경우 139, 445 및 593, UDP 포트 69(TFTP), 135, 137 및 138 및 원격 명령 셸용 TCP 포트 4444는 다음 단계를 수행하여 LAN(로컬 영역 네트워크) 연결에 영향을 받는 포트를 차단합니다. 전화 접속 연결에는 TCP/IP 필터링을 사용할 수 없습니다. 전화 접속 연결을 사용하여 인터넷에 연결하는 경우 방화벽을 사용하도록 설정해야 합니다.

  1. TCP/IP 보안을 구성합니다. 이렇게 하려면 운영 체제에 대한 절차를 사용합니다.

    Windows 2000

    1. 제어판네트워크 및 전화 접속 Connections 두 번 클릭합니다.

    2. 인터넷에 액세스하는 데 사용하는 인터페이스를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 선택한 구성 요소에서 이 연결 상자에서 인터넷 프로토콜(TCP/IP)을 클릭한 다음 속성을 클릭합니다.

    4. 인터넷 프로토콜(TCP/IP) 속성 대화 상자에서 고급을 클릭합니다.

    5. 옵션 탭을 클릭합니다.

    6. TCP/IP 필터링을 클릭한 다음 속성을 클릭합니다.

    7. TCP/IP 필터링 사용(모든 어댑터) 검사 상자를 클릭하여 선택합니다.

    8. 다음 레이블이 있는 세 개의 열이 있습니다.

      • TCP 포트
      • UDP 포트
      • IP 프로토콜

      각 열에서 허용 전용 옵션을 클릭합니다.

    9. 확인을 클릭합니다.

    참고

    • 이러한 단계를 수행하려고 할 때 컴퓨터가 종료되거나 반복적으로 다시 시작되는 경우 방화벽을 켜기 전에 인터넷에서 연결을 끊습니다. 광대역 연결을 통해 인터넷에 연결하는 경우 외부 DSL 또는 케이블 모뎀에서 실행되는 케이블을 찾은 다음 모뎀 또는 전화 잭에서 해당 케이블을 분리합니다. 전화 접속 연결을 사용하는 경우 컴퓨터 내 모뎀에서 전화 잭까지 실행되는 전화 케이블을 찾은 다음 전화 잭 또는 컴퓨터에서 해당 케이블을 분리합니다.
    • 둘 이상의 컴퓨터가 인터넷 연결을 공유하는 경우 인터넷에 직접 연결된 컴퓨터에서만 방화벽을 사용합니다. 인터넷 연결을 공유하는 다른 컴퓨터에서는 방화벽을 사용하지 마세요.
    • 방화벽을 사용하는 것은 전자 메일 서비스 또는 웹 검색에 영향을 미치지 않지만 방화벽은 일부 인터넷 소프트웨어, 서비스 또는 기능을 사용하지 않도록 설정할 수 있습니다. 이 동작이 발생하는 경우 일부 인터넷 기능이 작동하려면 방화벽에서 일부 포트를 열어야 할 수 있습니다. 열어야 하는 포트를 결정하기 위해 작동하지 않는 인터넷 서비스에 포함된 설명서를 참조하세요. 이러한 포트를 여는 방법을 확인하려면 방화벽에 포함된 설명서를 참조하세요.
    • 이러한 단계는 Microsoft 기술 자료 문서 309798 수정된 발췌를 기반으로 합니다.

    Windows NT 4.0

    1. 제어판네트워크를 두 번 클릭합니다.
    2. 프로토콜 탭을 클릭하고 TCP/IP 프로토콜을 클릭한 다음 속성을 클릭합니다.
    3. IP 주소 탭을 클릭한 다음 고급을 클릭합니다.
    4. 보안 검사 사용 상자를 클릭하여 선택한 다음 구성을 클릭합니다.
    5. TCP 포트, UDP 포트IP 프로토콜 열에서 를 클릭하여 허용 전용 설정을 선택합니다.
    6. 확인을 클릭한 다음 네트워크 도구를 닫습니다.

  2. 824146 보안 패치를 다운로드한 다음 모든 컴퓨터에 설치하여 Microsoft 보안 게시판 MS03-026 및 MS03-039에서 식별된 취약성을 해결합니다.

    824146 보안 패치는 823980 보안 패치를 대체합니다. Microsoft는 Microsoft 보안 게시판 MS03-026(823980)에서 해결된 문제에 대한 수정 사항도 포함하는 824146 보안 패치를 설치하는 것이 좋습니다.

  3. 바이러스 백신 서명 소프트웨어를 설치하거나 업데이트한 다음 전체 시스템 검사를 실행합니다.

  4. 바이러스 백신 공급업체에서 웜 제거 도구를 다운로드하여 실행합니다.

MICROSOFT VIA(바이러스 정보 동맹)에 참여하는 바이러스 백신 소프트웨어 공급업체의 Blaster 웜에 대한 추가 기술 세부 정보는 다음 타사 웹 사이트를 방문하세요.

참고

TCP 필터링을 사용할 필요가 없는 경우 이 문서에 설명된 수정 사항을 적용하고 웜을 성공적으로 제거했는지 확인한 후 TCP 필터링을 사용하지 않도록 설정할 수 있습니다.

Blaster 웜의 알려진 변형에 대한 추가 기술 정보는 다음 Symantec 웹 사이트를 참조하세요.

W32. Randex.E: Nstask32.exe, Winlogin.exe, Win32sockdrv.dll 및 Yyuetyutr.dll

Symantec Security Center.

Microsoft 바이러스 정보 동맹에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

Microsoft 보안 대응 센터.

이 웜에서 복구하는 방법에 대한 자세한 내용은 바이러스 백신 공급업체에 문의하세요.

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.

참조

이 웜에 대한 Microsoft의 최신 정보는 PC를 안전하고 건강하게 유지하기 위한 리소스 및 도구에 대한 Microsoft 보안 인텔리전스 방문하세요. 업데이트 자체를 설치하는 데 문제가 있는 경우 리소스 및 도구 에 대한 Microsoft 업데이트 지원을 방문하여 PC를 최신 업데이트로 업데이트된 상태로 유지합니다.