RPC 윔 응급조치 요령
1) Win32.HLLW.Msblast(가칭) 웜 제거 요령.
해당 웜은 DCOM RPC 보안 취약점을 공격하여 확산 하는 웜입니다.
해당 보안 패치를 설치하지 않은 시스템은 근본적으로 웜의 차단이 불가능합니다.
아래 Microsoft 홈페이지를 방문하여 DCOM RPC 취약점 정보를 확인하시기 바랍니다.
http://www.microsoft.com/korea/technet/security/bulletin/security_bulletins/ms03-026.asp
2) 응급조치
1. 안전모드 부팅
2. C\WINNT\system32\tftp.exe 이름 변경 예) tftp.ex_ (xp경우는 C\Windows\system32)
3. C\WINNT\system32\msblast.exe 삭제
4. 레지스트리 편집기 다음 키 삭제 (시작->실행-> regedit 입력 후 엔터)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runwindows auto update = msblast.exe
5. 시스템 재시작
6. 아래 URL 에서 패치 다운로드
Windows NT 4.0 Server
http://microsoft.com/downloads/details.aspx?FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F&displaylang=ko
Windows NT 4.0 Terminal Server Edition
http://microsoft.com/downloads/details.aspx?FamilyId=6C0F0160-64FA-424C-A3C1-C9FAD2DC65CA&displaylang=en
Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F-220354449117&displaylang=ko
Windows XP 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ko
Windows XP 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=1B00F5DF-4A85-488F-80E3-C347ADCC4DF1&displaylang=en
Windows Server 2003 32 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=F8E0FF3A-9F4C-4061-9009-3A212458E92E&displaylang=ko
Windows Server 2003 64 bit Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2B566973-C3F0-4EC1-995F-017E35692BC7&displaylang=en
7. 시스템 재시작
오늘 RPC 웜으로 많은 분들이 고생을 하셨는가 봅니다.
이 글을 이곳, 저곳 올렸더니 저에게 수많은 메일이 오더군요.
우선 안전 모드 방법은 많은 분들이 알고 계시겠지만 컴퓨터를 다시 켜고
F8 버튼을 누르시면 안전 모드로 접속이 됩니다.
언제 F8 버튼을 눌러야 하는지 모를 때는 컴퓨터를 켜는 것과 함께 거의 1초 간격으로
F8 버튼을 누르시다 보면은 안전 모드로 접속을 원하냐는 내용의 화면으로 접속을 하게 됩니다.
그럼 이 곳에서 안전 모드를 선택을 하신 후 접속을 하시면 됩니다.
또, 중요한 사항은 레지스트리 부분은 삭제 하라고 한 곳만 삭제를 해주시기 바랍니다.
다른 것을 건드리면 시스템에 막대한 장애를 줄 수도 있으니 주의 하시기 바랍니다.
지금 XP 사용자들은 32 비트 패치 파일을 다운 받으시면 됩니다.
