Survival Time 과 감염 유형 분석1월 보고서

KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
웜/바이러스에 대한 취약 PC의 Survival
Time과 감염유형 분석 (1월)
2005. 01. 17
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
차 례
1. 개 요 ............................................................................................................... 1
2. 인터넷을 통한 웜 감염 위험성에 대한 인식 및 주의 필요성 ......... 2
3. 취약 PC　Survival Time 측정 및 감염 유형에 대한 현황 분석...... 2
가. 분석 방법, 절차, 환경 ........................................................................... 2
나. 취약 PC의 Survival Time 측정 결과 분석 ..................................... 4
다. 감염 유형에 대한 분석 .......................................................................... 7
4. Survival Time 측정 결과에 대한 월별 History ................................... 11
5. 사용자 대응 방법 ........................................................................................... 12
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
1. 개 요
최근에, 인터넷 망에서 웜 전파를 위한 악성 트래픽의 비율이 높아지고 있다.
최근 신종 웜의 출현 주기가 매우 짧아지고 그 종류도 매우 다양해지고 있으므로
이러한 추세는 지속될 것으로 보인다.
이러한 악성 트래픽으로 인하여 패스워드가 설정이 안 되어 있거나 패치가 안 되
어 있는 PC의 경우 인터넷에 연결되어 있는 것만으로도 자동으로 웜에 감염되게
된다.
이 문서에서는 인터넷 망에서의 웜 감염 위험 정도를 파악하기 위하여, 윈도우
OS가 설치되어 있는 PC를 취약한 상태로 인터넷 망에 연결한 후 웜으로 부터의
생존시간을 측정하고 확인해 보았다. 또한 감염 시의 감염 유형을 분석하여 많이
이용되는 감염 수단과 경로를 파악해 보았다.
분석 결과, 추측하기 쉬운 패스워드가 설정되어 있거나 패치가 안 되어 있는 상태
에서 OS가 인터넷에 연결 될 경우, 매우 짧은 시간 내에 웜에 의해 감염되는 것
으로 확인되었다. 이 Survival Time은 매우 짧아 인터넷을 통해 패치를 실시할
경우, 패치 도중에 웜에 감염될 가능성이 높을 것으로 우려된다. 따라서, 인터넷
을 통하여 패치를 실시하고자 할 경우, 인터넷에 연결하기 전에 개인 방화벽이나
윈도우OS 의 TCP/IP 필터 기능을 이용하여 웜 감염에 이용되는 주요 포트를 차
단한 후에 패치를 실시해야 겠다. 윈도우 OS의 TCP/IP 필터 기능 사용 및 패치
방법, 암호 설정에 대한 자세한 Guide는 첨부에 기술하였다.
웜 감염/전파에 많이 이용되는 취약점으로는 RPC DCOM취약점, Password
Weak 취약점, LSASS 취약점 순으로 관찰되었다. 이 순위는 사용하는 IP 대역
또는 시기에 따라 많이 달라질 수 있다.
※ WinXP SP2의 경우, 특별한 조치 없이도 자체 내장된 방화벽에 의하여 악성
트래픽이 차단되어 감염이 관찰되지 않았다. 참고로, 메일 첨부등 기타 사회
공학적인 방법으로 전파되는 웜일 경우 감염될 수 있다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
2. 인터넷을 통한 웜 감염 위험성에 대한 인식 및 주의 필요성
인터넷 망에는 웜이 발생시키는 악성 트래픽이 많이 흐르고 있다. 요즈음, 거의
대부분의 경우 PC가 인터넷 망에 연결되어 있으므로 사용자가 주의하지 않으면
이러한 악성 트래픽에 의하여 단시간 안에 웜에 감염되게 된다
특히, 개인 이용자들이 많이 이용하는 ADSL, VDSL 환경에서는 이러한 악성 트
래픽들이 대부분 여과되지 않기 때문에 특별히 주의할 필요가 있다.
웜의 감염 경로는 OS 네트워크 서비스 취약점, 메일, 인터넷 익스플로러 등 여러
가지가 있을 수 있다. 이중 OS 네트워크 서비스 취약점을 이용하는 웜의 경우
OS가 패치가 안되어 있다면 사용자 개입 없이 자동으로 감염되게 된다.
또한, Survival 시간이 매우 짧아, PC를 OS 패치 없이 30분 이상 인터넷에 연결
해 놓았을 경우 80% 이상 웜에 감염 되었다고 보아야 한다. 짧은 경우는 인터
넷 연결 후 1분 내에 감염되는 경우도 관찰 되었다.
감염 후에는 PC내의 중요 정보들이 웜 제작자에게 유출될 수 있고, 기타 여러 가
지 피해가 발생할 수 있다. 경우에 따라서는 백신으로 탐지가 안 되는 경우도 있
으므로, 피해 방지를 위해 감염 전에 각별히 주의해야 한다
3. 취약 PC Survival Time 측정 및 감염 유형 분석
가. 분석 방법, 절차, 환경
패치가 안 되어 있거나 취약 암호를 사용하는 PC가 인터넷에서 웜에 감염되기
까지 걸리는 시간을 확인하기 위하여, 분석 환경을 구성하여 테스팅을 하였다.
또한, PC 감염 시 이용되는 공격 유형을 분석하였다
Survival Time은 ISP환경에 따라서 달라질 수 있다. ISP에서 웜의 전파 경로로
알려진 일부 포트를 차단하고 있을 경우, Survival Time은 길어질 수 있다.
따라서, 정확한 결과를 위하여, 모든 서비스 트래픽이 필터 없이 흐를 수 있는 전
용선 환경과 (※ ISP를 거치지 않고, IX에 직접 연결 되어 있는 전용선 환경),
ADSL 환경(※국내 ISP 업체)에서 각각 시간을 측정하였다.
분석에 사용된 PC는 Win XP SP1 및 Win2K SP4 OS 가상머신 환경으로써, 암호
를 설정하지 않고, 패치를 실시하지 않은 상태로 인터넷에 연결하여 현상을 관찰
하였다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
네트워크 환경 PC 환경 / 조건
전용선 환경 (모든 서버스 Open)
윈도우2K SP4(30대) - 미패치, 암호 미설정
윈도우XP SP1(30대) - 미패치, 암호 미설정
국내 ISP ADSL, VDSL 환경 윈도우2K SP4(20대) - 미패치, 암호 미설정
o 테스트 방법 및 절차
- 암호 미설정 및 미 패치된 가상머신 WinXP SP1 (30대) , Win2K SP4(30
대)를 인터넷에 연결 후, 네트워크 분석 도구로 웜 감염 현상을 관찰하
여 Survival Time 측정 및 공격 유형 분석. 1차로, 모든 서비스가 오픈
되어 있는 일반 전용선 환경에서 테스트를 실시, 2차로 국내 2개의 ISP
업체 ADSL, VDSL 환경에서 테스팅을 실시
o 환경 / 조건
- 테스트에는 인터넷 연결을 위하여, 모든 포트가 개방되어 있는 전용선
환경(상위 네트워크에서 특정 포트가 차단되어 있을 가능성이 있어,
IX 에 직접 연결되어 있는 환경을 구성.) 과 국내 2개의 ISP ADSL 환경
이용. 테스트 시간대는 (水) 오후 3:00~5:00
- 웜 감염을 위한 취약 PC 구성. 또한 감염 여부 및 침해 유형을 파악할
수 있는 네트워크 트래픽 분석 환경 구성
< 테스트 환경 구성 >
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 PC9 PC10 PC11 PC12 PC13 PC14 PC15
최초
감염
4분
52초
1분
13초
3분
33초
4분
14초
3분
7초
5분
24초
10분2
6초
2분
19초
8초
32분
06초
14분
14초
33분
04초
1분
38초
3분
41초
20분
42초
PC16 PC17 PC18 PC19 PC20 PC21 PC22 PC23 PC24 PC25 PC26 PC27 PC28 PC29 PC30
최초
감염
6분
33초
45분
03초
23분1
1초
10분
36초
4분
46초
1시간
35분
42초
17분
02초
5분
45초
7분
45초
9분
46초
5분
43초
2분
17초
2분
32초
12분
48초
2분
15초
PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 PC9 PC10 PC11 PC12 PC13 PC14 PC15
최초
감염
14분
32초
4분
11초
2분
27초
7분
35초
2분
44초
1분
51초
11분
48초
1시간
16분
18초
2분
41초
1시간
6분
6초
13분
25초
9분
45초
8분
46초
6분
18초
1시간
37분
12초
PC16 PC17 PC18 PC19 PC20 PC21 PC22 PC23 PC24 PC25 PC26 PC27 PC28 PC29 PC30
최초
감염
46분
13초
37분
43초
45분
3초
8분
31초
4분
12초
2분
6초
1분
37초
23분
45초
8분
56초
4분
44초
39분
48초
13분
00초
20분
30초
35분
10초
9분
5초
나. 취약 PC의 Survival Time 측정 결과 분석
1) 모든 포트를 이용하는 것이 가능한 전용선 환경에서의 테스팅
아래 내용은 취약한 Windows XP SP1, Windows2000 Pro SP4를 인터넷에 연
결시킨 후 웜에 최초 감염되는 시간을 측정한 결과이다. 환경은 특별한 트래픽에
대한 여과가 없는, 모든 포트를 이용하는 것이 가능한 전용선 환경에서 실시하였
다.
테스트 결과, 시간이 일정하지는 않았으며, 대부분 짧은 시간안 (10분내)에 감염되
는 것으로 관찰되었다.
<취약 Win XP SP1 PC 의 Survival Time>
<취약 Win 2000 Pro SP4 PC의 Survival Time>
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
5분이내 10분 이내 30분 이내 1시간 이내 2시간 이내
감염률 43% 63% 86% 96% 100%
5분이내 10분 이내 30분 이내 1시간 이내 2시간 이내
감염률 33% 60% 76% 90% 100%
아래 그림은 각 30대 PC에 대한 최초 웜 감염 시간(Min) 분포도이다. 가로축은
취약PC 30대를 나타내고, 세로축은 감염시간(Min)을 의미한다. 분포도는 대부분
30분이내에 웜에 감염된다는 것을 표시해 준다.
<분포도> 각 취약PC 에 대한 Survival Time 측정 결과
Survival Time (Min) Survival Time (Min)
취약 PC 30 대 (Win XP) 취약 PC 30 대 (Win2K Pro)
경과시간별로 감염률 (전체PC에서 감염된 PC 비율)은 다음과 같았다. 아래 표
에서 나타난 바와 같이 WinXP SP1의 경우, 인터넷에 연결한 후 5분안에 43%,
10분안에 63%, 30분안에 86%, 1시간안에 96%의 PC가 감염되었다. 즉, 1시간 이
내에 거의 모든 PC가 감염되는 것으로 보아야 한다.
<Win XP SP1 경과시간 별 감염률 >
<Win 2K SP4 경과시간 별 감염률 >
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
5분 이내 10분 이내 30 분 이내 1시간 이내
감염률(A ISP) 30% 30% 90% 100%
감염률(B ISP) 50% 70% 90% 100%
PC1 PC2 PC3 PC4 PC5 PC6 PC7 PC8 PC9 PC10
A ISP ADSL 13분 23분 3분 20분 3분 21분 13분 1분 40분 15분
B ISP VDSL 3분 3분 2분 2분 5분 17분 5분 2분 14분 40분
<Win XP SP1 시간 경과별 감염률> <Win 2K SP4 시간 경과별 감염률>
2) 국내 ISP ADSL, VDSL 환경에서의 테스팅
ISP 업체에 따라서 특정 포트 트래픽을 차단하는 경우가 있다. 이러한 경우,
Survival Time이 달라질 수 있다. 따라서, 국내 2개의 ISP 업체를 선정 하여
ADSL, VDSL환경을 구성한 후 테스트를 실시해 보았다. A ISP 가 제공하는
ADSL 의 경우 일부 포트에 대한 필터링 적용으로 LSASS에 대한 공격이 관찰되
지 않았다. 따라서 Survival Time이 좀 길게 관찰되었지만, 30분 이내에는 많은
PC에서 웜 감염이 확인되었다
<국내 ADSL, VDSL 환경에서의 Survival Time>
<경과 시간별 감염률 >
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
아래 그림은 감염 분포 및 시간 경과별 감염율을 그래프로 나타낸 것이다. <분
포도>의 가로축은 테스트 취약 PC 10대를 나타내고, 세로축은 감염 시간(Min)을
의미한다.
<분포도> <시간 경과별 감염률>
다. 감염 유형에 대한 분석
다음은 웜에 감염 될 경우에 이용되는 취약점 유형에 대한 분석 결과이다. 측
정 결과, 감염에 많이 이용되는 취약점 순위는 RPC DCOM 취약점, Weak
Password 취약점 , LSASS 취약점 순 이였다.
o 감염 시 이용되는 취약점 유형 비율
취약 PC가 최초 감염 되었을 때, 각 PC별 감염 원인은 RPC DCOM이 73%,
Password Weak가 18%, LSASS가 9% 로 관찰되었다.
※ 이 비율은 사용하는 IP, 시간대, 신종 및 변동 웜 출현에 따라 달라질 수 있다.
이유는 웜의 확산 분포가 IP대역 마다 차이가 있고, 웜은 주기를 가지고 활동하
는 경우가 많으며, 신종 및 변종 웜이 영향력을 줄 수 있기 때문이다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
< 감염 시 이용되는 취약점 유형 비율>
o RPC DCOM, Weak Password, LSASS 취약점 별 공격 유형 및 특성 분석
- RPC DCOM 취약점 (MS 03-026, MS 03-039) : RPC DCOM 취약점은 RPC
에서 정보를 주고 받을 때, 특정 인자에 대한 검사를 하지 않아 발생한다.
많은 웜들이 이 취약점을 이용하여 확산을 시도하는 것으로 알려지고 있다.
아래 그림은 웜 감염 시 관찰된 RPC DCOM 취약점 공격 트래픽을 캡쳐한
화면이다. Exploit을 위하여, Shell Code 와 NOP(90)값이 전송되는 것을
볼수 있다. 표시된 "0x00 0x5C 0x00 0x5C" 은 RPC DCOM 공격에서 볼수
있는 패턴이다. 취약점 Exploit 후에는 TFTP 또는 기타 프로토콜을 통하여,
웜 파일이 전송되고 실행되는 것으로 관찰되었다.
※참고: 웜W32.Blaster.Worm, W32.HLLW.Gaobot,W32.Sdbot, Win32.IRCBot 등이
이 취약점을 이용한다. 이번테스트에서는 rspcs.exe (IRCBot계열) 등이
발견되었다
<RPC DCOM 취약점 공격 과정>
< 웜 파일 전송 과정>
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
- LSASS 취약점 (MS 04-011): LSASS 데몬은 사용자의 로그인 인가를 해주
는 역할을 한다. 이 서비스는 로그온의 로그파일을 남기는 과정 에서 버퍼
오버플로우를 발생 시킬 수 있다.
Win2K도 이 취약점에 영향 받는 대상에 속하나, 웜 감염 측정에서는 많은
감염실패가 관찰 되었다.
아래 그림은 웜 감염 테스팅에서 관찰된 LSASS 취약점 공격 과정 중 중
요 부분을 캡쳐한 화면이다. 세션 연결 요청 후에 Tree 연결 요청
\xxx.xxx.xxx.xxxipc$ 이 발생하고, lsarpc 에 대한 인증 생성 요청 시
도 후에 버퍼 오버런을 위한 공격 코드 NOP 및 Shell 코드가 전송되는 것
을 확인할 수 있다.
※참고: 웜W32.Sasser, W32.Spybot, W32.HLLW.Gaobot등이 이취약점을 이용함.
이번테스트에서는 adverse2.exe (Sasser계열)등이 발견되었다
<LSASS 취약점 공격 과정>
<NOP 및 Shell 코드 전송 예>
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
- 취약한 암호에 의한 감염 :
윈도우 XP, 2K에서는 관리 목적의 공유 폴더가 숨김 속성으로 설정되어 있
다. 관리자 계정과 암호를 알고 있을 경우, 원격에서 이 공유 폴더에 접
근 할수 있는데 일단 접근에 성공하면 파일 읽기, 쓰기 등 거의 모든 행위
를 할 수 있게 된다.
암호가 설정되어 있더라도 추측하기 쉬운 암호로 설정되어 있을 경우,
Brute force 무작위 대입 공격으로 접근에 성공할 수 있다.
아래 그림은 취약 암호 공격이 진행되는 과정의 네트워크 트래픽을 캡쳐
한 화면이며, 웜이 자신을 전파시키기 위하여 피해 시스템에 암호를 무작위
로 반복적으로 대입하여 Session 연결을 시도하는 것을 볼 수 있다. 사용
자가 암호를 설정하지 않거나 추측하기 쉬운 암호를 설정하여, Session 연
결이 성공하면, 웜 파일이 전송되어 감염되게 된다.
※ 참고: 웜 W32.IRCBot, W32.Agobot등이 이 취약점을 이용함. 이번 테스트에서
는 taskmngr.exe (IRCBot계열)등이 발견 되었다.
<Brute force 암호 무작위 대입 공격>
아래 그림은 세션 연결 및, \xx.xxx.xxx.xxxadmin$ 관리 목적 공유폴더에 접근 후
피해 PC의 시스템 폴더(Winntsystem32)에 자신의 복제 파일(wupdated.exe)을 복
사(전송) 하는 과정이다.
<관리 목적 공유 폴더 통한 웜 파일 전송 과정>
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 11 -
4. Survival Time 측정 결과에 대한 월별 History
“아래 그래프는 2005년 1월 부터의 월별 Survival Time 변동현황을 보여 준다.
아래 그래프를 통하여, ”5분 이내“ , ”10분 이내“, ”30분 이내“ 등의 시간경과별
웜 감염률에 대한 월별 변동 추이를 확인할 수 있다.
<2005년 1월 이후의 월별 웜 감염률 변동 추이>
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 12 -
5. 사용자 대응 방법
PC를 웜에 감염시키지 않기 위해서, 사용자는 불필요한 계정을 삭제하고, 사용
하는 계정은 추측하기 어려운 암호를 사용해야 한다. 또한 윈도우에 최신 패치를
설치해야 한다. 인터넷을 통하여 업데이트를 실시할 경우, 업데이트 진행 중에
웜에 감염될 수 있다. 따라서 인터넷 연결 전에 일반적으로 알려진 웜의 유입 포
트를 먼저 차단하는 것이 필요하다. 윈도우의 TCP/IP 필터기능을 이용하면 패치
진행 중 웜에 감염되는 것을 방지할 수 있다. (※ Win XP SP2의 경우 보안센터
방화벽에 의하여 Default로 주요 포트가 차단되어 있다) 다음에 제시된 방법으로
암호 및 필터링을 설정하여, 웜 감염으로 인한 피해를 최소화 하도록 한다
가. 불필요한 계정을 삭제하고, 사용하는 계정은 암호를 추측하기 어렵게 설정한
다.
◈ Windows 2000 :
Step1. "Ctrl" + "Alt" + "Delete"를 누른다
“암호 변경” 클릭한 후, 추측하기 어려운 암호로 변경한다
Step2. “시작” → “설정” → “제어판”→ “사용자 및 암호” 를 클릭한다.
불필요한 계정을 모두 삭제하고, 사용하는 계정들은 암호를 모두
추측하기 어렵게 바꾼다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 13 -
　◈ Windows XP :
　　“시작” → “제어판” → “사용자 계정” 클릭 한다.
불필요한 계정을 모두 삭제하고, 사용하는 계정들은 암호를 모두 추측하
기 어렵게 바꾼다.
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 14 -
나. 네트워크 설정에서 “Microsoft 네트워크용 클라이언트” 와 “Microsoft 네트워
크용 파일 및 프린터 공유“를 해제한다. 필요한 경우, 패치가 완료된 후에
다시 Enable 하여 사용하도록 한다.
◈ Windows 2000
"시작" → "설정" → "네트워크 및 전화 접속 연결" → "로컬영역 연결"
→ "등록정보" 클릭 후
“Microsoft 네트워크용 클라이언트” 와 “Microsoft 네트워크용 파일 및
프린터 공유“를 해제
◈ Windows XP
"시작" → "제어판“ → ”네트워크 및 인터넷 연결“ → ”네트워크 연결”
→ “ 로컬 영역 연결” → “속성” 클릭 후
“Microsoft 네트워크용 클라이언트” 와 “Microsoft 네트워크용 파일 및
프린터 공유“를 해제
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 15 -
다. 새로운 OS를 설치 시 곧바로 패치를 실시한다. 인터넷을 통하여 패치를 하고
자 할 경우, 먼저 TCP/IP 필터 기능을 이용하여, Inbound 트래픽을 차단 한
후에, 인터넷에 접속하도록 한다. 패치 후에는 필터를 해제한다.
※ Win XP SP2 의 경우 보안센터 방화벽에서 기본으로 차단해 준다
▶ TCP/IP 필터 설정 방법.
Step1.
◈ Windows 2000
"시작" → "설정" → "네트워크 및 전화 접속 연결" → "로컬영역 연결"
→ "등록정보" → "인터넷프로토콜(TCP/IP)" → "고급" → "옵션" →
"TCP/IP 필터링" 클릭
◈ Windows XP
"시작" → "제어판“ → ”네트워크 및 인터넷 연결“ → ”네트워
크 연결” → “ 로컬 영역 연결” → “속성” → "인터넷프로토
콜(TCP/IP)" → "고급" → "옵션" → "TCP/IP 필터링" 클릭
Step2.
아래와 같이 “TCP/IP 필터링 사용 (모든 어댑터)" 에 체크 및 TCP 포트
부분의 “다음 만 허용” 에 체크
※인터넷을 통한 패치가 끝나면, 원래의 상태로 복원시킨다. 즉, “TCP/IP
필터링 사용” 체크를 풀고, TCP 포트 부분을 “모두 허용”으로 설정한
다
KrCERT-AR-2005-02 http://www.krcert.or.kr
웜/바이러스에 대한 취약 PC의 Survival Time과 감염유형 분석 cert@krcert.or.kr
__________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 16 -
▶ Windows 업데이트 방법
“시작” → “프러그램” →“ Internet Explorer"를 실행 시킨다.
“도구” → “ Windows update"를 클릭한다.
아래와 같이 보안 경고창이 뜨면 “예”를 클릭한다.
아래 화면에서 “지금 설치” 를 클릭하면, 업데이트가 시작된다.