바이러스 입니다.

윈도우 업데이트를 이용하셔서 꼭 패치하시길 바랍니다.

인터넷 웹브라우저 실행후 도구 - window update 입니다.

백신업체에서 무료로 패치도 제공하고 있습니다.

업데이트로 안되면 운영체제 다시까는 방법뿐이 마당한 해결책이 없습니다.

평소 윈도우 업데이트를 자주 하시길.....

--------------------------------------------------------------------------

현재 RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제로 바이러스가

심각한 상태라고 하네요..-_-; 현재까지 주로 자주 재부팅 되는 현상이 많이 보고 되고 있는데.. 다른 현상도 많이 나타날껄로 보입니다. 한번 걸리면 골치 아파요. 얼른 보안 패치 받아서 설치 하시길.. 포맷하고 다시 설치하는 노가다 하지 마시고.. 패치만 설치해 주세요.

취약점으로 인한 영향 : 침입자가 원하는 코드가 실행됩니다.
(컴퓨터가 1시간에 30번씩 재부팅이 멋대로 된답니다.)

최대 위험 등급 : 높음

영향을 받는 소프트웨어:
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0 Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003
위 운영체제 사용자분들은 꼭! 패치하시기 바랍니다.

아래 링크 따라가셔서 자신에게 맞는 패치를 꼭 받아서 설치하십시오.
http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp


--
RPC 인터페이스의 버퍼 오버런으로 인한 코드 실행 문제

처음 게시된 날짜: 2003년 7월 16일

개정된 날짜: 2003년 7월 27일

요약




- 이 내용을 읽어야 할 사람: Microsoft Windows 를 사용하는 고객

- 취약점으로 인한 영향: 침입자가 원하는 코드가 실행됩니다.

- 최대 위험 등급: 높음

- 권장 사항: 시스템 관리자는 즉시 패치를 적용해야 합니다.

- 최종 사용자 게시판: 이 게시판의 최종 사용자 버전은 http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp를 참조하십시오.

- 영향을 받는 소프트웨어:

Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

- 영향을 받지 않는 소프트웨어:

Microsoft Windows 98
Microsoft Windows 98 SE
Microsoft Windows Millennium Edition

기술 세부 사항
기술적 설명:


마이크로소프트는 Windows 분산 구성요소 개체 모델(DCOM) 원격 프로시저 호출 (RPC) 인터페이스에 존재하는 보안 취약점을 해결하기 위해서 2003년 7월 16일 이 게시판과 패치를 처음 발표했습니다. 이 패치는 보안 취약점을 제거할 수 있었고, 지금도 여전히 효과가 있습니다. 하지만 원래의 보안 게시판의 "예방 방법"과 "해결 방법(패치를 설치하지 않은 경우의 대안)"이, 취약점이 잠재적으로 공격받을 가능성이 있는 모든 포트를 명확히 명시하지 않았었습니다. RPC 서비스가 불려질 수 있는 포트를 좀 더 명확히 나열하고, 패치를 설치하기 전에 다른 대안책을 사용하기로 결정한 고객이 시스템을 보호하는 데 필요한 정보를 알도록 하기 위하여 본 게시판을 업데이트하였습니다. 이미 패치를 설치한 고객의 경우 이 취약점을 공격하려는 시도로부터 안전하게 보호되고 있으며 추가로 조치할 내용은 없습니다.

원격 프로시저 호출(RPC) 은 Windows 운영 체제에서 사용하는 프로토콜입니다. RPC를 사용하면 특정 컴퓨터에서 실행되는 프로그램에서 원격 시스템의 코드를 완벽하게 실행할 수 있게 해주는 프로세스간 통신(IPC) 메커니즘을 구현할 수 있습니다. 이 프로토콜은 원래 OSF(Open Software Foundation) RPC 프로토콜을 기반으로 하지만 Microsoft는 여기에 몇 가지 기능을 더 추가했습니다.

RPC에서 TCP/IP를 통한 메시지 교환을 처리하는 부분에 보안 취약점이 있습니다. 이 결함은 잘못된 형식의 메시지를 처리하는 방식에 문제가 있기 때문에 발생합니다. 이 취약점은 RPC 가능 포트에서 수신 대기하는 RPC와의 DCOM(Distributed Component Object Model) 인터페이스에 영향을 줍니다. 이 인터페이스는 범용 명명 규칙(UNC) 경로와 같이 클라이언트 시스템에서 서버로 보내는 DCOM 개체 활성화 요청을 처리합니다.

이 취약점을 악용하려면 침입자는 특수하게 만든 요청을 특정한 RPC 포트를 통해 원격 컴퓨터로 보내야 합니다.

예방 방법:



이 취약점을 악용하려면 침입자는 특수하게 만든 요청을 원격 시스템의 135, 139, 445 포트 또는 원격 컴퓨터에서 RPC 포트로 사용하도록 지정된 포트로 보낼 수 있어야 합니다. 인트라넷 환경에서는 일반적으로 이들 포트에 액세스할 수 있지만 인터넷에 연결된 시스템에서는 보통 방화벽으로 차단됩니다. 이 포트들이 차단되지 않은 경우나 인트라넷 구성에서는 침입자에게 아무런 추가 권한도 필요하지 않습니다.
가장 좋은 방법은 실제로 사용하지 않는 모든 TCP/IP 포트를 차단하는 것입니다. 이런 이유로 인터넷에 연결된 모든 컴퓨터에서 TCP나 UDP에서 RPC 사용을 차단해야 합니다. TCP와 UDP를 통한 RPC는 인터넷과 같이 보안에 취약한 환경에서 사용하도록 설계된 프로토콜이 아닙니다. 보안에 취약한 환경에는 HTTP를 통한 RPC와 같이 더욱 강력한 프로토콜을 제공합니다.
클라이언트 및 서버에서 RPC를 보호하는 자세한 방법은
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp 를 참조하십시오.

RPC에서 사용하는 포트에 대한 자세한 내용은 다음을 참조하십시오.
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp
위험 등급:
Windows NT 4.0 높음
Windows NT 4.0 Terminal Server Edition 높음
Windows 2000 높음
Windows XP 높음
Windows Server 2003 높음



위의 등급은 이 취약점과 관련된 시스템 유형, 일반적인 배포 방법, 그리고 취약점이 악용될 때 시스템에 미치는 영향을 근거로 평가한 것입니다.

취약점 확인: CAN-2003-0352

테스트 버전:


Microsoft에서는 Windows Me, Windows NT 4.0, Windows NT 4.0 Terminal Services Edition, Windows 2000, Windows XP 및 Windows Server 2003이 이러한 취약점으로 인해 영향을 받는지 알아보기 위해 테스트를 실시하였습니다. 이전 버전은 더 이상 지원되지 않으며, 이 취약점에 의해 영향을 받을 수도 있고 받지 않을 수도 있습니다.

자주 제기되는 질문 사항
왜 이 게시판이 개정되었습니까?

마이크로소프트가 이 게시판을 발표한 후에 RPC와 연관된 포트들이 추가로 이 취약점 공격에 사용될 수 있다는 사실이 밝혀졌습니다. 게시판의 "예방 방법"과 "해결 방법"에 이러한 포트 관련 정보가 추가되었습니다.

원래의 게시판에서 제공되었던 패치를 이미 설치했으면, 계속 안전한 것입니까?

예. 패치 자체에는 변경된 내용이 없었으며, 여전히 취약점을 해결할 수 있습니다. 패치를 적용하기 전까지 임시로 대안이 필요한 고객을 위하여 추가 정보가 제공되고 있습니다.

이 취약점을 악용하여 어느 작업까지 가능합니까?

이것은 버퍼 오버런 취약점입니다. 이 취약점을 악용한 침입자는 원격 컴퓨터를 통해 완벽한 제어 권한을 확보할 수 있습니다. 제어 권한을 확보한 침입자는 서버에서 원하는 작업을 수행할 수 있게 됩니다. 예를 들어, 침입자는 웹 페이지를 변경하거나 하드 디스크를 다시 포맷하거나 로컬 관리자 그룹에 새 사용자를 추가할 수 있습니다.

이러한 공격을 수행하려면 침입자는 잘못된 메시지를 RPC 서비스에 보낼 수 있어야 하며 이로 인해 임의의 코드를 실행하는 방법으로 대상 시스템에 장애를 일으킬 수 있습니다.

취약점의 원인은?

취약점은 Windows RPC 서비스가 특정 환경에서 메시지 입력을 올바르게 검사하지 않기 때문에 발생합니다. 이 결함은 RPC로 사용하도록 지정된 포트에서 수신 대기하는 기본 DCOM(Distributed Component Object Model) 인터페이스에 영향을 줍니다. 잘못된 RPC 메시지를 보냄으로써 침입자는 임의의 코드를 실행하는 방법으로 시스템의 RPC 서비스에 장애를 일으킬 수 있으며 이 방법을 사용하여 원격 시스템에 있는 RPC와의 인터페이스에 장애를 일으킬 수도 있습니다.

DCOM이란?

DCOM(Distributed Component Object Model)은 소프트웨어 구성 요소가 네트워크를 통해 직접 통신하게 해주는 프로토콜입니다. 이전에는 "네트워크 OLE"라고 했던 DCOM은 HTTP와 같은 인터넷 프로토콜을 포함하여 여러 네트워크 전송에 사용하도록 설계되었습니다. DCOM에 대한 자세한 내용은 다음 웹 사이트에서 볼 수 있습니다.
http://www.microsoft.com/com/tech/dcom.asp

RPC(원격 프로시저 호출)란 무엇입니까?

원격 프로시저 호출(RPC)은 한 프로그램에서 네트워크의 다른 컴퓨터에 있는 프로그램의 서비스를 요청하는 데 사용할 수 있는 프로토콜입니다. RPC를 사용하는 프로그램은 통신을 지원하는 네트워크 프로토콜을 파악할 필요가 없기 때문에 더욱 효과적으로 상호 운용할 수 있습니다. RPC에서 요청을 보내는 프로그램은 클라이언트가 되며 서비스를 제공하는 프로그램은 서버가 됩니다.

Microsoft에서 구현한 RPC(원격 프로시저 호출)의 문제점은 무엇입니까?

RPC에는 TCP/IP를 통한 메시지 교환을 처리하는 부분에 결함이 있습니다. 이 결함은 잘못된 형식의 메시지를 처리하는 방식에 문제가 있기 때문에 발생합니다. 이 결함은 TCP/IP의 135번 포트에서 수신 대기하며 139와 445 포트를 통해서도 전달될 수 있는 기본 DCOM 인터페이스에 영향을 줍니다. 잘못된 RPC 메시지를 보냄으로써 침입자는 임의의 코드를 실행하는 방법으로 시스템의 RPC 서비스에 장애를 일으킬 수 있습니다.

이 결함이 RPC 종점 매퍼의 문제입니까?

아닙니다. RPC 종점 매퍼가 TCP 135번 포트에서 수신 대기하지만 실제 결함은 RPC 프로세스 내의 하위 수준 DCOM 인터페이스에서 발생합니다. RPC 클라이언트에서는 RPC 종점 매퍼를 사용하여 현재 특정 RPC 서비스에 할당된 포트 번호를 파악할 수 있습니다. 종점은 서버 응용 프로그램에서 클라이언트 RPC를 위해 수신 대기하는 프로토콜 포트 또는 명명된 파이프입니다. 따라서 클라이언트/서버 응용 프로그램에서는 잘 알려져 있거나 동적인 포트를 사용할 수 있습니다.

보안 게시판 MS03-010도 RPC와 관련이 있지만 여기에서는 Windows NT 4.0에 대한 취약점을 해결할 수 없었습니다. Windows NT 4.0에서는 이 취약점을 어떻게 해결할 수 있었습니까?

이 경우 결함은 RPC에 대한 기본 DCOM 인터페이스에 있으며 전체 RPC 구현이나 RPC 종점 매퍼 자체에 있는 것이 아닙니다. 따라서 보안 게시판 MS03-010의 Windows NT 4.0 패치에서 필요로 했던 Windows NT 4.0 운영 체제의 중요한 부분을 다시 구성하지 않고도 Windows NT 4.0에서 이 취약점을 해결할 수 있게 되었습니다.

침입자는 이러한 취약점을 악용하여 어떤 작업을 할 수 있습니까?

이 취약점을 악용한 침입자는 영향을 받는 시스템에서 로컬 시스템 권한을 사용하여 코드를 실행할 수 있습니다. 침입자는 프로그램 설치, 변경 사항 보기나 데이터 삭제 또는 모든 권한을 가진 새 계정 만들기 등의 원하는 작업을 해당 시스템에서 수행할 수 있습니다.

침입자는 이러한 취약점을 어떻게 악용합니까?

침입자는 공격에 취약한 서버와 통신할 수 있는 시스템을 특정 종류의 잘못된 RPC 메시지를 보내도록 프로그래밍하여 이 취약점을 악용할 수 있습니다. 이러한 메시지를 받으면 임의의 코드를 실행하는 방법으로 공격에 취약한 시스템의 RPC 서비스에 장애를 일으킬 수 있습니다.

누가 취약점을 악용할 수 있습니까?

TCP 요청을 영향 받는 컴퓨터에 전달할 수 있는 사용자는 이 취약점을 악용할 수 있습니다. RPC 요청은 기본적으로 모든 Windows 버전에서 사용되기 때문에 사실상 영향 받는 컴퓨터에 연결할 수 있는 모든 사용자는 취약점을 악용할 수 있다고 볼 수 있습니다.

또한 시스템에 대화형으로 로그온하는 다른 방법을 사용하거나 로컬 또는 원격으로 공격에 취약한 구성 요소에 매개 변수를 전달하는 유사한 다른 응용 프로그램을 사용하여 영향을 받는 구성 요소에 액세스할 수도 있습니다.

패치는 어떤 기능을 합니까?

패치는 DCOM 인터페이스에 전달되는 정보를 적절히 검사하도록 DCOM 인터페이스를 변경하여 취약점을 해결합니다.

해결 방법

패치를 테스트하고 평가하는 동안 취약점이 악용되는 것을 방지할 수 있는 방법이 있습니까?

예. 모든 고객이 가능한 한 빠른 시일 내에 패치를 적용하는 것이 가장 좋지만 그 사이에 취약점이 악용될 수 있으므로 이를 방지하기 위해 적용할 수 있는 몇 가지 해결 방안이 있습니다.

반드시 명심해야 할 것은 이러한 해결 방안은 임시적 방편일 뿐이며 취약점 자체를 수정하지 않고 단지 공격 경로를 차단하기만 합니다.

다음 절에서는 공격으로부터 사용자 시스템을 보호하는 방법을 설명합니다. 각 절에 제시된 해결 방안은 사용자 시스템 구성에 따라 다르게 사용할 수 있습니다.

각 절에서는 필요한 기능 수준에 따라 사용할 수 있는 해결 방법에 대해 설명합니다.

방화벽에서 RPC 인터페이스 포트를 차단합니다.
135번 포트는 원격 컴퓨터에 RPC를 연결하는 데 사용됩니다. 그리고 이 취약점을 원격으로 공격하기 위해 공격자가 사용할 수 있는 추가적인 RPC 인터페이스 포트들이 있습니다. 방화벽에서 다음 포트를 차단하면 이 취약점을 악용하여 방화벽 뒤의 시스템이 공격 받는 것을 예방할 수 있습니다.
TCP/UDP 포트 135
TCP/UDP 포트 139
TCP/UDP 포트 445

추가로, RPC를 사용하는 서비스나 프로토콜이 인터넷에서 액세스될 수 있도록 사용자가 설정했을 수도 있습니다. 시스템 관리자는 반드시 인터넷에 노출된 RPC 포트가 있는지 점검하여 방화벽에서 이 포트들을 차단하든지 즉시 패치를 설치하든지 해야합니다.
인터넷 연결 방화벽
인터넷 연결을 보호하기 위해 Windows XP 또는 Windows Server 2003에서 인터넷 연결 방화벽을 사용하는 경우 인터넷의 인바운드 RPC 트래픽이 기본적으로 차단됩니다.
영향 받는 모든 시스템에서 DCOM 기능 해제
컴퓨터가 네트워크의 일부일 경우 해당 컴퓨터의 COM 개체가 DCOM Wire Protocol을 사용하여 다른 컴퓨터의 COM 개체와 통신할 수 있습니다. 이 취약점으로부터 보호하기 위해 특정 컴퓨터의 DCOM 기능을 해제할 수 있지만 이렇게 하면 해당 컴퓨터의 개체와 다른 컴퓨터의 개체 간의 모든 통신이 해제됩니다.

원격 컴퓨터에서 DCOM 기능을 해제하면 DCOM을 다시 설정한 후에 해당 컴퓨터에 원격으로 액세스하지 못할 수 있습니다. DCOM을 다시 설정하려면 해당 컴퓨터에 실제로 액세스해야 합니다.

컴퓨터에서 DCOM을 수동으로 설정하거나 해제하려면
1. Dcomcnfg.exe를 실행합니다.

Windows XP 또는 Windows Server 2003을 실행하는 경우 다음과 같은 추가 단계를 수행합니다.
콘솔 루트에서 구성 요소 서비스 노드를 클릭합니다.
컴퓨터 하위 폴더를 엽니다.
로컬 컴퓨터인 경우 내 컴퓨터를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
원격 컴퓨터인 경우 컴퓨터 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다. 컴퓨터 이름을 입력합니다. 해당 컴퓨터 이름을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
2. 기본 속성 탭을 선택합니다.
3. 이 컴퓨터에서 DCOM 사용 확인란을 선택하거나 선택을 취소합니다.
4. 시스템에 대한 속성을 추가로 설정하려면 적용 단추를 클릭하여 DCOM을 설정하거나 해제합니다. 그렇지 않으면 확인을 클릭하여 변경 사항을 적용하고 Dcomcnfg.exe를 끝냅니다.