Win32/Conficker 웜에 대한 바이러스 경고

Windows Vista SP1(서비스 팩 1)의 지원이 2011년 7월 12일 자로 종료됩니다. Windows용 보안 업데이트를 계속 받으려면 Windows Vista SP2(서비스 팩2)를 실행하고 있어야 합니다. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오. 일부 Windows 버전에 대한 지원이 종료될 예정입니다.

요약

이 기술 자료 문서의 정보는 이 문서의 세부 정보를 구현할 수 있는 시스템 관리자가 있는 비즈니스 환경을 대상으로 합니다. 바이러스 백신 프로그램으로 바이러스를 올바르게 치료하고 있는 경우 및 시스템이 완전히 업데이트된 경우에는 이 문서를 사용할 필요가 없습니다. 시스템에 Conficker 바이러스가 없는지 확인하려면 다음 웹 페이지에서 빠른 검사를 수행합니다. http://www.microsoft.com/security/scanner/ko-kr/



Conficker 바이러스에 대한 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

감염 현상

컴퓨터가 이 웜에 감염된 경우 어떠한 현상도 발생하지 않거나 다음 현상이 발생할 수 있습니다.

  • 계정 잠금 정책이 실행되고 있습니다.

  • 자동 업데이트, BITS(Background Intelligent Transfer Service), Windows Defender 및 오류 보고 서비스가 사용되지 않게 설정되어 있습니다.

  • 도메인 컨트롤러가 클라이언트 요청에 느리게 응답합니다.

  • 네트워크가 정체되어 있습니다.

  • 다양한 보안 관련 웹 사이트에 액세스할 수 없습니다.

  • 다양한 보안 관련 도구가 실행되지 않습니다. 알려진 도구 목록을 보려면 다음 Microsoft 웹 페이지를 방문하십시오. 그런 다음 Win32/Conficker.D에 대한 자세한 내용을 보려면 Analysis 탭을 클릭하십시오. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.

    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D

Win32/Conficker에 대한 자세한 내용을 보려면 다음 Microsoft Malware Protection Center 웹 페이지를 방문하십시오.

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

전파 방법

Win32/Conficker는 다음과 같은 여러 가지 방법으로 전파됩니다.

  • 보안 업데이트 958644(MS08-067)에 의해 패치되는 취약성 이용

  • 네트워크 공유 사용

  • 자동 재생 기능 사용

따라서 네트워크를 정리할 때는 이전에 정리한 시스템에 위협 요소가 다시 침투되지 않도록 주의해야 합니다.


참고 Win32/Conficker.D 변종은 네트워크를 통해 이동식 드라이브 또는 공유 폴더로 확산되지 않습니다. Win32/Conficker.D는 Win32/Conficker의 이전 변종에 의해 설치됩니다.

예방 조치

  • 모든 컴퓨터에 고유하고 강력한 관리자 암호를 사용합니다.

  • 도메인 관리자 자격 증명 또는 모든 컴퓨터에 액세스할 수 있는 자격 증명을 사용하여 컴퓨터에 로그온하지 마십시오.

  • 모든 시스템에 최신 보안 업데이트가 적용되었는지 확인합니다.

  • 자동 실행 기능을 사용하지 않도록 설정합니다. 자세한 내용은 "그룹 정책 개체 만들기" 섹션의 3단계를 참조하십시오.

  • 공유 위치에 대한 과도한 권한을 제거합니다. 예를 들어 모든 공유 루트에 대한 쓰기 권한을 제거합니다.

완화 단계

그룹 정책 설정을 사용하여 Win32/Conficker 확산 방지

참고

  • 중요 이 문서에 제안된 대로 변경하기 전에 현재 설정을 문서화해야 합니다.

  • 다음 절차를 수행해도 시스템에서 Conficker 맬웨어가 제거되지는 않으며 맬웨어의 확산을 방지할 뿐입니다. 시스템에서 Conficker 맬웨어를 제거하려면 바이러스 백신 제품을 사용해야 합니다. 또는 이 기술 자료 문서의 "Win32/Conficker 바이러스를 제거하는 수동 단계" 섹션의 단계를 따라 시스템에서 맬웨어를 수동으로 제거하십시오.






  • 다음 단계에서 권장되는 대로 사용 권한을 변경하는 동안 응용 프로그램, 서비스 팩 또는 기타 업데이트를 올바르게 설치하지 못할 수 있습니다. 예를 들어 Windows Update, Microsoft WSUS(Windows Server Update Services) 서버 및 System Center Configuration Manager(Configuration Manager 2007)은 자동 업데이트의 구성 요소를 사용하기 때문에 이러한 제품을 사용하여 업데이트를 적용할 수 없으며 이외에도 다른 설치 문제가 있을 수 있습니다. 시스템을 정리한 후 사용 권한을 다시 기본 설정으로 변경해야 합니다.

  • "그룹 정책 개체 만들기" 섹션에 설명된 Tasks 폴더 및 SVCHOST 레지스트리 키의 기본 사용 권한에 대한 자세한 내용은 이 문서 후반부의 기본 사용 권한 표를 참조하십시오.

그룹 정책 개체 만들기

작업 환경의 요구에 따라 특정 OU(조직 구성 단위), 사이트 또는 도메인의 모든 컴퓨터에 적용되는 새 GPO(그룹 정책 개체)를 만듭니다.

이렇게 하려면 다음과 같이 하십시오.

  1. 다음 레지스트리 하위 키에 대한 쓰기 권한을 제거하는 정책을 설정합니다.

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 이렇게 하면 임의로 명명된 맬웨어 서비스가 netsvcs 레지스트리 값에 생성되는 것을 막을 수 있습니다.

    이렇게 하려면 다음과 같이 하십시오.

    1. GPMC(그룹 정책 관리 콘솔)를 엽니다.

    2. 새 GPO를 만듭니다. 개체에 원하는 이름을 지정합니다.

    3. 새 GPO를 열고 다음 폴더로 이동합니다.

      컴퓨터 구성\Windows 설정\보안 설정\레지스트리

    4. 레지스트리를 마우스 오른쪽 단추로 클릭한 다음 키 추가를 클릭합니다.

    5. 레지스트리 키 선택 대화 상자에서 Machine을 확장한 후 다음 폴더로 이동합니다.

      Software\Microsoft\Windows NT\CurrentVersion

    6. 확인을 클릭합니다.

    7. 열리는 대화 상자에서 AdministratorsSystem 둘 다에 대해 모든 권한 확인란을 클릭하여 선택 취소합니다.

    8. 확인을 클릭합니다.

    9. 개체 추가 대화 상자에서 모든 하위 키의 기존 사용 권한을 상속 가능한 사용 권한으로 바꾸기를 클릭합니다.

    10. 확인을 클릭합니다.

  2. %windir%\Tasks 폴더에 대한 쓰기 권한을 제거하는 정책을 설정합니다. 이렇게 하면 Conficker 맬웨어가 시스템을 재감염시킬 수 있는 예약된 작업을 만들 수 없습니다.

    이렇게 하려면 다음과 같이 하십시오.

    1. 앞에서 만든 GPO에서 다음 폴더로 이동합니다.

      컴퓨터 구성\Windows 설정\보안 설정\파일 시스템

    2. 파일 시스템을 마우스 오른쪽 단추로 클릭하고 파일 추가를 클릭합니다.

    3. 파일이나 폴더 추가 대화 상자에서 %windir%\Tasks 폴더를 찾습니다. 폴더 대화 상자에서 Tasks 폴더가 선택된 채로 나열되어 있는지 확인합니다.

    4. 확인을 클릭합니다.

    5. 열려 있는 대화 상자에서 관리자시스템 모두에 대해 모든 권한, 수정쓰기 확인란을 클릭하여 선택을 취소합니다.

    6. 확인을 클릭합니다.

    7. 개체 추가 대화 상자에서 모든 하위 키의 기존 사용 권한을 상속 가능한 사용 권한으로 바꾸기를 클릭합니다.

    8. 확인을 클릭합니다.

  3. 자동 실행 기능이 사용되지 않도록 설정합니다. 이렇게 하면 Conficker 맬웨어가 Windows에 기본 제공된 자동 실행 기능을 사용하여 확산될 수 없습니다.


    참고 사용 중인 Windows 버전에 따라 자동 실행 기능을 제대로 비활성화하기 위해 설치해야 하는 업데이트가 따로 있습니다.

    • Windows Vista 또는 Windows Server 2008에서 자동 실행 기능을 비활성화하려면 보안 업데이트 950582를 설치해야 합니다(보안 공지 MS08-038에 설명됨).

    • Windows XP, Windows Server 2003 또는 Windows 2000에서 자동 실행 기능을 비활성화하려면 보안 업데이트 950582, 업데이트 967715 또는 업데이트 953252를 설치해야 합니다.



    자동 실행 기능이 사용되지 않도록 설정하려면 다음 단계를 수행합니다.

    1. 앞에서 만든 GPO에서 다음 폴더 중 하나로 이동합니다.

      • Windows Server 2003 도메인의 경우 다음 폴더로 이동합니다.

        컴퓨터 구성\관리 템플릿\시스템

      • Windows 2008 도메인의 경우 다음 폴더로 이동합니다.

        컴퓨터 구성\관리 템플릿\Windows 구성 요소\자동 실행 정책

    2. 자동 실행 사용 안 함 정책을 엽니다.

    3. 자동 실행 사용 안 함 대화 상자에서 사용을 클릭합니다.

    4. 드롭다운 메뉴에서 모든 드라이브를 클릭합니다.

    5. 확인을 클릭합니다.

  4. 그룹 정책 관리 콘솔을 닫습니다.

  5. 새로 만든 GPO를 적용하려는 위치에 해당 GPO를 연결합니다.

  6. 그룹 정책 설정이 모든 컴퓨터로 업데이트될 때까지 충분히 대기합니다. 일반적으로 그룹 정책 복제가 각 도메인 컨트롤러로 복제를 수행하는 데 5분 정도 걸리고 시스템의 나머지 부분으로 복제를 수행하는 데 90분 정도 걸립니다. 따라서 두 시간 정도면 충분합니다. 그러나 작업 환경에 따라 더 많은 시간이 소요될 수도 있습니다.

  7. 그룹 정책 설정을 전파한 후에는 시스템에서 맬웨어를 제거하십시오.

    이렇게 하려면 다음과 같이 하십시오.

    1. 모든 컴퓨터에서 전체 바이러스 백신 검색을 실행하십시오.

    2. 바이러스 백신 소프트웨어가 Conficker를 검색하지 못하면 Microsoft Safety Scanner를 사용하여 맬웨어를 제거할 수 있습니다. 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오. http://www.microsoft.com/security/scanner/ko-kr/참고 맬웨어로 인한 모든 영향을 제거하기 위해 몇 가지 수동 단계를 수행해야 할 수 있습니다. 이 문서의 "Win32/Conficker 바이러스를 제거하는 수동 단계" 섹션에 나열된 단계를 검토하여 맬웨어의 영향을 모두 제거하는 것이 좋습니다.

복구

Microsoft Safety Scanner 실행

Microsoft Malware Protection Center에서는 Microsoft Safety Scanner를 업데이트했습니다. 이 도구는 자주 발생하는 악성 소프트웨어를 제거하는 데 유용한 독립 실행형 이진 파일로, Win32/Conficker 맬웨어 제품군을 제거하는 데 도움이 될 수 있습니다.

참고 Microsoft Safety Scanner는 실시간 바이러스 백신 프로그램이 아니기 때문에 재감염을 방지하지 않습니다.

Microsoft Safety Scanner는 다음 Microsoft 웹 사이트에서 다운로드할 수 있습니다.

http://www.microsoft.com/security/scanner/ko-kr/
참고 독립 실행형 시스템 스위퍼 도구로도 이 감염을 제거할 수 있습니다. 이 도구는 Microsoft Desktop Optimization Pack 6.0의 구성 요소로 사용하거나 고객 지원 서비스를 통해 제공 받을 수 있습니다. Microsoft Desktop Optimization Pack을 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/ko-kr/windows/enterprise/products-and-technologies/mdop/default.aspx 시스템에서 Microsoft Security Essentials 또는 Microsoft Forefront Client Security가 실행되고 있으면 위협 요소가 침투하기 전에 차단됩니다.

Win32/Conficker 바이러스를 제거하는 수동 단계

참고

  • 이 수동 단계는 더 이상 필요하지 않으며, Conficker 바이러스를 제거하는 바이러스 백신 소프트웨어가 없을 경우에만 사용해야 합니다.

  • 컴퓨터에 침투한 Win32/Conficker 변종에 따라 이 섹션에 참조된 이 값 중 일부는 바이러스에 의해 변경되지 않았을 수 있습니다.




다음 세부 단계를 수행하여 시스템에서 Conficker를 수동으로 제거할 수 있습니다.

  1. 로컬 계정을 사용하여 시스템에 로그온합니다.


    중요 가능한 경우에도 도메인 계정을 사용하여 시스템에 로그온하지 마십시오. 특히, 도메인 관리자 계정을 사용하여 로그온하는 경우는 피하십시오. 맬웨어는 로그온된 사용자 자격 증명을 사용하여 로그온한 사용자를 가장하고 네트워크 리소스에 액세스하기 때문입니다. 이러한 동작으로 인해 맬웨어가 확산될 수 있습니다.

  2. 서버 서비스를 중지합니다. 이렇게 하면 시스템에서 관리 공유가 제거되므로 맬웨어가 관리 공유를 통해 확산될 수 없게 됩니다.


    참고 서버 서비스는 사용자 환경에서 맬웨어를 정리하는 동안에만 일시적으로 비활성화해야 합니다. 서버 서비스를 사용할 수 없게 설정하면 네트워크 리소스의 가용성에 영향을 주므로 프로덕션 서버에서는 즉시 다시 설정해야 합니다. 환경이 정리되면 서버 서비스를 사용 가능하게 다시 설정할 수 있습니다.


    서버 서비스를 중지하려면 서비스 MMC(Microsoft Management Console)를 사용합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 사용 중인 시스템에 따라 다음을 수행하십시오.

      • Windows Vista 및 Windows Server 2008에서 시작을 클릭하고 검색 시작 상자에 services.msc를 입력한 후 프로그램 목록에서 services.msc를 클릭합니다.

      • Windows 2000, Windows XP 및 Windows Server 2003의 경우 시작, 실행을 차례로 클릭한 후 services.msc를 입력하고 확인을 클릭합니다.

    2. 서버를 두 번 클릭합니다.

    3. 중지를 클릭합니다.

    4. 시작 유형 상자에서 사용 안 함을 선택합니다.

    5. 적용을 클릭합니다.

  3. 모든 AT 생성 예약 작업을 제거합니다. 이렇게 하려면 명령 프롬프트에 AT /Delete /Yes를 입력합니다.

  4. 작업 스케줄러 서비스를 중지합니다.

    • Windows 2000, Windows XP 및 Windows Server 2003에서 작업 스케줄러 서비스를 중지하려면 서비스 MMC(Microsoft Management Console) 또는 SC.exe 유틸리티를 사용합니다.

    • Windows Vista 또는 Windows Server 2008에서 작업 스케줄러 서비스를 중지하려면 다음 단계를 따르십시오.

      중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

      322756Windows에서 레지스트리를 백업 및 복원하는 방법

      1. 시작을 클릭하고 검색 시작 상자에 regedit를 입력한 다음 프로그램 목록에서 regedit.exe를 클릭합니다.

      2. 다음 레지스트리 하위 키를 찾아서 클릭합니다.

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

      3. 세부 정보 창에서 Start DWORD 항목을 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.

      4. 값 데이터 상자에 4을 입력한 다음 확인을 클릭합니다.

      5. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.



        참고 작업 스케줄러 서비스는 사용자 환경에서 맬웨어를 정리하는 동안에만 일시적으로 비활성화해야 합니다. 이 단계는 다양한 기본 예약된 작업에 영향을 주므로 Windows Vista 및 Windows Server 2008에서는 특히 이 서비스를 비활성화해야 합니다. 환경이 정리되면 서버 서비스를 사용하도록 다시 설정합니다.

  5. 보안 업데이트 958644(MS08-067)를 다운로드한 후 수동으로 설치합니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

    http://www.microsoft.com/korea/technet/security/bulletin/Ms08-067.mspx참고 이 사이트는 맬웨어 감염 때문에 차단될 수 있습니다. 이 시나리오에서는 감염되지 않은 컴퓨터에서 업데이트를 다운로드한 후 업데이트 파일을 감염된 시스템으로 전송해야 합니다. 구운 CD는 쓰기 불가능하므로 업데이트를 CD로 구울 것을 권장합니다. 따라서 이 CD는 감염될 수 없습니다. 기록 가능 CD 드라이브는 사용할 수 없으므로 이동식 USB 메모리 드라이브가 감염된 시스템으로 업데이트를 복사하는 유일한 방법일 수 있습니다. 이동식 드라이브를 사용할 경우 맬웨어가 Autorun.inf 파일이 있는 드라이브에 감염될 수 있다는 사실을 알아야 합니다. 이동식 드라이브에 업데이트를 복사한 후에는 드라이브를 읽기 전용 모드로 변경하는 옵션이 있는 경우 이 옵션을 실행해야 합니다. 읽기 전용 모드를 사용할 수 있는 경우 일반적으로 장치의 실제 스위치를 사용하여 설정합니다. 그런 후 업데이트 파일을 감염된 컴퓨터에 복사하고 이동식 드라이브를 확인하여 Autorun.inf 파일이 드라이브에 기록되었는지 검토합니다. Autorun.inf 파일이 기록되었으면 이동식 드라이브가 컴퓨터에 연결될 때 실행될 수 없도록 Autorun.bad와 같은 다른 이름으로 바꾸십시오.

  6. Local Admin 및 Domain Admin 암호를 다시 설정하여 강력한 새 암호를 사용합니다. 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

    http://technet.microsoft.com/ko-kr/library/cc875814.aspx

  7. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  8. 세부 정보 창에서 netsvcs 항목을 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.

  9. 컴퓨터가 Win32/Conficker 바이러스에 감염된 경우 무작위 서비스 이름이 나열됩니다.


    참고 Win32/Conficker.B에 감염된 경우 서비스 이름이 무작위 문자로 목록 맨 아래에 표시되었습니다. 그 이후 변종의 경우 서비스 이름이 목록의 어느 위치에나 있을 수 있으며 더 합법적으로 보일 수 있습니다. 무작위 서비스 이름이 맨 아래에 있지 않을 경우 이 절차의 "서비스 표"와 사용자 시스템을 비교하여 Win32/Conficker에 의해 추가되었을 수 있는 서비스 이름을 확인합니다. 확인하려면 "서비스 표"의 목록과 감염되지 않은 것으로 알려진 유사 시스템을 비교합니다.


    맬웨어 서비스 이름을 적어두십시오. 이 절차 뒷부분에서 이 정보가 필요합니다.

  10. 맬웨어 서비스에 대한 참조를 포함하는 줄을 삭제합니다. 마지막에 나열된 적법한 항목 아래에 빈 줄 바꿈을 넣은 후 확인을 클릭합니다.



    서비스 표에 대한 참고 사항

    • 굵게 강조 표시된 항목을 제외하고 서비스 표의 모든 항목은 유효한 항목입니다.

    • 굵게 강조 표시된 항목은 Win32/Conficker 바이러스로 인해 SVCHOST 레지스트리 키의 netsvcs 값에 추가될 수 있는 항목의 예입니다.

    • 시스템에 설치된 항목에 따라 이 목록은 전체 서비스 목록이 아닐 수 있습니다.

    • 이 서비스 표는 기본 Windows 설치에 해당하는 서비스 표입니다.

    • Win32/Conficker 바이러스로 인해 목록에 추가되는 항목은 혼란화 기술입니다. 첫 번째 문자가 비슷해 보이는, 강조 표시된 악성 항목은 "L"의 소문자입니다. 그러나 사실 이 문자는 대문자 "I"입니다. 운영 체제에서 사용되는 글꼴 때문에 대문자 "I"는 "L"의 소문자처럼 보입니다.

    서비스 표

    Windows Server 2008

    Windows Vista

    Windows Server 2003

    Windows XP

    Windows 2000

    AeLookupSvc

    AeLookupSvc

    AppMgmt

    6to4

    EventSystem

    wercplsupport

    wercplsupport

    AudioSrv

    AppMgmt

    Ias

    Themes

    Themes

    Browser

    AudioSrv

    Iprip

    CertPropSvc

    CertPropSvc

    CryptSvc

    Browser

    Irmon

    SCPolicySvc

    SCPolicySvc

    DMServer

    CryptSvc

    Netman

    lanmanserver

    lanmanserver

    EventSystem

    DMServer

    Nwsapagent

    gpsvc

    gpsvc

    HidServ

    DHCP

    Rasauto

    IKEEXT

    IKEEXT

    Ias

    ERSvc

    Iaslogon

    AudioSrv

    AudioSrv

    Iprip

    EventSystem

    Rasman

    FastUserSwitchingCompatibility

    FastUserSwitchingCompatibility

    Irmon

    FastUserSwitchingCompatibility

    Remoteaccess

    Ias

    Ias

    LanmanServer

    HidServ

    SENS

    Irmon

    Irmon

    LanmanWorkstation

    Ias

    Sharedaccess

    Nla

    Nla

    Messenger

    Iprip

    Ntmssvc

    Ntmssvc

    Ntmssvc

    Netman

    Irmon

    wzcsvc

    NWCWorkstation

    NWCWorkstation

    Nla

    LanmanServer

    Nwsapagent

    Nwsapagent

    Ntmssvc

    LanmanWorkstation

    Rasauto

    Rasauto

    NWCWorkstation

    Messenger

    Rasman

    Rasman

    Nwsapagent

    Netman

    Iaslogon

    Iaslogon

    Iaslogon

    Iaslogon

    Remoteaccess

    Remoteaccess

    Rasauto

    Nla

    SENS

    SENS

    Rasman

    Ntmssvc

    Sharedaccess

    Sharedaccess

    Remoteaccess

    NWCWorkstation

    SRService

    SRService

    Sacsvr

    Nwsapagent

    Tapisrv

    Tapisrv

    Schedule

    Rasauto

    Wmi

    Wmi

    Seclogon

    Rasman

    WmdmPmSp

    WmdmPmSp

    SENS

    Remoteaccess

    TermService

    TermService

    Sharedaccess

    Schedule

    wuauserv

    wuauserv

    Themes

    Seclogon

    BITS

    BITS

    TrkWks

    SENS

    ShellHWDetection

    ShellHWDetection

    TrkSvr

    Sharedaccess

    LogonHours

    LogonHours

    W32Time

    SRService

    PCAudit

    PCAudit

    WZCSVC

    Tapisrv

    helpsvc

    helpsvc

    Wmi

    Themes

    uploadmgr

    uploadmgr

    WmdmPmSp

    TrkWks

    iphlpsvc

    iphlpsvc

    winmgmt

    W32Time

    seclogon

    seclogon

    wuauserv

    WZCSVC

    AppInfo

    AppInfo

    BITS

    Wmi

    msiscsi

    msiscsi

    ShellHWDetection

    WmdmPmSp

    MMCSS

    MMCSS

    uploadmgr

    winmgmt

    browser

    ProfSvc

    WmdmPmSN

    TermService

    winmgmt

    EapHost

    xmlprov

    wuauserv

    SessionEnv

    winmgmt

    AeLookupSvc

    BITS

    ProfSvc

    schedule

    helpsvc

    ShellHWDetection

    EapHost

    SessionEnv

    helpsvc

    hkmsvc

    browser

    xmlprov

    schedule

    hkmsvc

    wscsvc

    AppMgmt

    AppMgmt

    WmdmPmSN

    sacsvr

    hkmsvc

  11. 이전 절차에서 맬웨어 서비스 이름을 적어두었습니다. 이 예에서 맬웨어 항목 이름은 "Iaslogon"였습니다. 이 정보를 사용하여 다음과 같이 하십시오.

    1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 클릭합니다. 여기서 BadServiceName은 맬웨어 서비스의 이름입니다.

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName 예를 들어 다음 레지스트리 키를 찾아서 클릭합니다.

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. 탐색 창에서 맬웨어 서비스 이름에 대한 하위 키를 마우스 오른쪽 단추로 클릭한 후 사용 권한을 클릭합니다.

    3. SvcHost의 사용 권한 대화 상자에서 고급을 클릭합니다.

    4. 보안 고급 설정 대화 상자에서

      부모 개체가 가진 사용 권한을 자식 개체에 적용 (여기에서 새로 설정한 권한 포함) 확인란과

      여기에 표시된 권한으로 자식 개체 권한 바꾸기 확인란을 모두 클릭하여 선택합니다.

  12. F5 키를 눌러 레지스트리 편집기를 업데이트합니다. 이제 세부 정보 창에서 "ServiceDll"로 로드된 맬웨어 DLL을 보고 편집할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.

    1. ServiceDll 항목을 두 번 클릭합니다.

    2. 참조된 DLL의 경로를 적어둡니다. 이 절차 뒷부분에서 이 정보가 필요합니다. 예를 들어 참조된 DLL의 경로는 다음과 유사할 수 있습니다. %SystemRoot%\System32\doieuln.dll 다음과 같이 참조 이름을 바꿉니다. %SystemRoot%\System32\doieuln.old

    3. 확인을 클릭합니다.

  13. 레지스트리의 Run 하위 키에서 맬웨어 서비스 항목을 제거합니다.

    1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. 두 하위 키에서 "rundll32.exe"로 시작하고 12b단계에서 식별한 "ServiceDll"로 로드된 맬웨어 DLL을 참조하는 항목을 찾습니다. 이 항목을 삭제합니다.

    3. 레지스트리 편집기를 종료한 다음 컴퓨터를 다시 시작합니다.

  14. 시스템의 드라이브에 Autorun.inf 파일이 있는지 확인합니다. 메모장을 사용하여 각 파일을 연 후 유효한 Autorun.inf 파일인지 확인합니다. 다음은 전형적인 유효한 Autorun.inf 파일의 예입니다.

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico

    유효한 Autorun.inf의 크기는 일반적으로 1-2KB입니다.

  15. 올바르지 않은 것으로 보이는 Autorun.inf 파일을 삭제합니다.

  16. 컴퓨터를 다시 시작합니다.

  17. 숨김 파일을 보이게 합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력합니다.

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

  18. 이 파일이 보이도록 숨김 파일 및 폴더 표시를 설정합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 12b단계에서 맬웨어에 대한 참조된 .dll 파일의 경로를 적어 두었습니다. 예를 들어 다음과 비슷한 경로를 적어 두었을 것입니다.

      %systemroot%\System32\doieuln.dll Windows 탐색기에서 %systemroot%\System32 디렉터리 또는 맬웨어가 들어 있는 디렉터리를 엽니다.

    2. 도구를 클릭한 다음 폴더 옵션을 클릭합니다.

    3. 보기 탭을 클릭합니다.

    4. 숨김 파일 및 폴더 표시 확인란을 선택합니다.

    5. 확인을 클릭합니다.

  19. .dll 파일을 선택합니다.

  20. Everyone에 대해 모든 권한을 추가하려면 파일에 대한 사용 권한을 편집합니다. 이렇게 하려면 다음과 같이 하십시오.

    1. .dll 파일을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    2. 보안 탭을 클릭합니다.

    3. Everyone을 클릭한 후 허용 열에서 모든 권한 확인란을 클릭하여 선택합니다.

    4. 확인을 클릭합니다.

  21. 맬웨어에 대한 참조된 .dll 파일을 삭제합니다. 예를 들어 %systemroot%\System32\doieuln.dll 파일을 삭제합니다.

  22. 서비스 MMC(Microsoft Management Console)를 사용하여 BITS, 자동 업데이트, 오류 보고 및 Windows Defender 서비스를 사용하도록 설정합니다.

  23. Autorun을 해제하여 재감염 가능성을 줄입니다. 이렇게 하려면 다음과 같이 하십시오.

    1. 사용 중인 시스템에 따라 다음 업데이트 중 하나를 설치합니다.

      • Windows 2000, Windows XP 또는 Windows Server 2003을 실행 중인 경우 업데이트 967715를 설치합니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

        967715 Windows에서 자동 실행 기능을 비활성화하는 방법

      • Windows Vista 또는 Windows Server 2008을 실행 중인 경우 보안 업데이트 950582를 설치합니다.
        자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

        950582MS08-038: Windows Explorer의 취약성으로 인한 원격 코드 실행 문제

      참고 업데이트 967715 및 보안 업데이트 950582는 이 맬웨어 문제와 관련이 없습니다. 23b단계에서 레지스트리 기능을 사용하도록 설정하기 위해 이러한 업데이트를 설치해야 합니다.

    2. 명령 프롬프트에 다음 명령을 입력합니다.

      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f

  24. 시스템에서 Windows Defender를 실행 중인 경우 Windows Defender 자동 시작 위치를 다시 사용 가능하게 설정합니다. 이렇게 하려면 명령 프롬프트에서 다음 명령을 입력합니다.

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Windows Defender" /t REG_EXPAND_SZ /d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide" /f

  25. Windows Vista 이상 운영 체제의 경우 맬웨어는 TCP 수신 창 자동 조정에 대한 전역 설정을 사용 불가능하게 변경합니다. 이 설정을 다시 변경하려면 명령 프롬프트에 다음 명령을 입력합니다.

    netsh interface tcp set global autotuning=normal

이 절차를 완료한 후에 컴퓨터가 재감염된 것처럼 나타날 경우 다음 상황 중 하나일 수 있습니다.

  • 자동 시작 위치 중 하나가 제거되지 않았습니다. 예를 들어 AT 작업이 제거되지 않았거나 Autorun.inf 파일이 제거되지 않았습니다.

  • MS08-067용 보안 업데이트가 제대로 설치되지 않았습니다.

이 맬웨어는 이 문서에서 다루지 않은 다른 설정을 변경할 수 있습니다. Win32/Conficker에 대한 최신 세부 정보를 보려면 다음 Microsoft Malware Protection Center 웹 페이지를 방문하십시오.

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

시스템이 정리되었는지 확인

다음 서비스가 시작되었는지 확인하십시오.

  • 자동 업데이트(wuauserv)

  • BITS(Background Intelligent Transfer Service)

  • Windows Defender(windefend)(적용 가능한 경우)

  • Windows 오류 보고 서비스

이렇게 하려면 명령 프롬프트에서 다음 명령을 입력한 다음 각 명령 다음에 Enter 키를 누릅니다.

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

각 명령이 실행된 후에 다음과 비슷한 메시지가 표시됩니다.

SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
이 예에서 "STATE : 4 RUNNING"은 서비스가 실행되고 있음을 나타냅니다.

SvcHost 레지스트리 하위 키의 상태를 확인하려면 다음과 같이 하십시오.

  1. 레지스트리 편집기에서 다음 레지스트리 하위 키를 찾아 선택합니다.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

  2. 세부 정보 창에서 netsvcs를 두 번 클릭한 후 나열된 서비스 이름을 검토합니다. 목록 맨 아래로 스크롤합니다. 컴퓨터가 Conficker에 재감염된 경우 무작위 서비스 이름이 나열됩니다. 예를 들어 이 절차에서는 맬웨어 서비스 이름이 "Iaslogon"입니다.

이러한 작업으로 문제를 해결할 수 없으면 바이러스 백신 소프트웨어 공급업체에 문의하십시오.
이 문제에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

49500바이러스 백신 소프트웨어 공급업체 목록바이러스 백신 소프트웨어 공급업체가 없거나 바이러스 백신 소프트웨어 공급업체가 도움을 줄 수 없는 경우 Microsoft 기술 지원 서비스에 문의하십시오.

환경 정리가 완료된 경우

환경 정리 작업이 완료되었으면 다음 단계를 수행합니다.

  1. 서버 서비스 및 작업 스케줄러 서비스를 다시 사용하도록 설정합니다.

  2. SVCHOST 레지스트리 키 및 Tasks 폴더에 대한 기본 사용 권한을 복원합니다. 기본 사용 권한은 그룹 정책 설정을 사용하여 기본 설정으로 되돌려야 합니다. 정책이 제거된 경우에는 기본 사용 권한을 복원하지 못할 수 있습니다. 자세한 내용은 "완화 단계" 섹션의 기본 사용 권한 표를 참조하십시오.

  3. 누락된 보안 업데이트를 설치하여 컴퓨터를 업데이트합니다. 이렇게 하려면 Windows Update, WSUS(Microsoft Windows Server Update Services) 서버, SMS(Systems Management Server), System Center Configuration Manager(Configuration Manager 2007) 또는 타사 업데이트 관리 제품을 사용합니다. SMS 또는 Configuration Manager 2007을 사용할 경우 먼저 서버 서비스를 다시 사용하도록 설정해야 합니다. 그렇지 않은 경우 시스템을 업데이트하기 위해 SMS 또는 Configuration Manager 2007을 사용하지 않도록 설정할 수 있습니다.

감염된 시스템 식별

Conficker에 감염된 시스템을 식별하는 데 문제가 있을 경우 다음 TechNet 블로그에 제공된 세부 정보를 참조하십시오.


http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

기본 사용 권한 표


다음 표에서는 각 운영 체제에 대한 기본 사용 권한을 보여 줍니다. 이 문서에서 권장하는 변경 내용을 적용하기 전에 기본적으로 이러한 사용 권한이 설정되어 있습니다. 그러나 이 사용 권한은 사용자 환경에 설정되어 있는 사용 권한과 다를 수 있습니다. 그러므로 변경하기 전에 사용자의 설정을 적어 두어야 합니다. 시스템을 정리한 후 사용자의 설정을 복원할 수 있도록 적어 두는 것입니다.

운영 체제

Windows Server 2008

Windows Vista

Windows Server 2003

Windows XP

Windows 2000

설정

Svchost 레지스트리

Tasks 폴더

Svchost 레지스트리

Tasks 폴더

Svchost 레지스트리

Tasks 폴더

Svchost 레지스트리

Tasks 폴더

Svchost 레지스트리

Tasks 폴더

계정

Administrators(로컬 그룹)

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

System

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

모든 권한

Power Users(로컬 그룹)

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

읽기

해당 사항 없음

읽기

해당 사항 없음

읽기

해당 사항 없음

Users(로컬 그룹)

특수

해당 사항 없음

특수

해당 사항 없음

읽기

해당 사항 없음

읽기

해당 사항 없음

읽기

해당 사항 없음

적용 대상: 이 키 및 하위 키

적용 대상: 이 키 및 하위 키

값 쿼리

값 쿼리

하위 키 열거

하위 키 열거

알림

알림

읽기 제어

읽기 제어

인증된 사용자

해당 사항 없음

특수

해당 사항 없음

특수

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

적용 대상: 이 폴더만

적용 대상: 이 폴더만

폴더 트래버스

폴더 트래버스

폴더 열거

폴더 열거

특성 읽기

특성 읽기

확장 특성 읽기

확장 특성 읽기

파일 만들기

파일 만들기

사용 권한 읽기

사용 권한 읽기

Backup Operators(로컬 그룹)

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

특수

해당 사항 없음

특수

적용 대상: 이 폴더만

적용 대상: 이 폴더만

폴더 트래버스

폴더 트래버스

폴더 열거

폴더 열거

특성 읽기

특성 읽기

확장 특성 읽기

확장 특성 읽기

파일 만들기

파일 만들기

사용 권한 읽기

사용 권한 읽기

모든 사람

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

해당 사항 없음

특수

적용 대상: 이 폴더, 하위 폴더 및 파일

폴더 트래버스

폴더 열거

특성 읽기

확장 특성 읽기

파일 만들기

폴더 만들기

특성 쓰기

확장 특성 쓰기

사용 권한 읽기

추가 도움말

이 문제에 대해 도움이 필요한 경우 미국에 거주하는 고객은 Answer Desk에서 직접 담당자와 대화할 수 있습니다.

Answer Desk

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×