블래스터(Blaster) 웜 Virus에 감염된것 같습니다.

마이크로소프트의 윈도우 운영체제를 악의적으로 공격하는 블래스터(Blaster) 웜이 지난 8월 12일 발견되었습니다. 블래스터 웜으로부터 여러분의 컴퓨터를 보호하기 위해서 이 사이트에서 제공하는 순서에 따라서 즉각 실행하시기 바랍니다. 필요한 경우, 이 페이지를 인쇄하여 참조하십시오.
참고 : 마이크로소프트는 전자우편을 통해서 패치 파일등의 소프트웨어를 첨부하여 제공하지 않습니다.

1. 영향을 받는 운영체제 Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Server 2003 * Windows 95, 98, ME는 영향을 받지 않습니다.
참고 : 이 웜은 8월 12일에 발견되었으므로 그 전에 보안 업데이트 MS03-026을 다운로드하여 설치하신 분은 이 웜의 공격으로부터 안전합니다.

2. 예방방법

보안 패치 MS03-026을 설치합니다. 네트워크가 외부에 노출된 공인 IP인지 사설 IP인지 여부와 관계없이, 또한 라우터와 방화벽에서 관련된 포트를 모두 차단하고 있다고 하더라도 모든 컴퓨터에 이 패치를 반드시 설치하시는 것이 좋습니다.

< 패치 다운로드 안내 >

Windows NT 4.0 계열은 서비스팩 6, Windows 2000 은 서비스팩 3 이상의 환경에서 패치를 적용하시기 바랍니다. (Windows 2000 서비스팩 4는 여기에서 다운로드 하십시오.) · Microsoft Windows NT 4.0 (한글버전) MS에서 다운로드 · Microsoft Windows NT 4.0 (영문버전) MS에서 다운로드 · Windows NT 4.0 Terminal Server Edition MS에서 다운로드 · Microsoft Windows 2000 (한글버전) MS에서 다운로드 · Microsoft Windows 2000 (영문버전) MS에서 다운로드 · Windows XP (한글버전) MS에서 다운로드 · Windows XP (영문버전) MS에서 다운로드 · Windows Server 2003 (한글버전) MS에서 다운로드 · Windows Server 2003 (영문버전) MS에서 다운로드

< 패치가 이미 설치되어 있는지 확인하는 방법 > Windows XP
1. [시작] - [제어판]의 [프로그램 추가/제거]를 선택합니다.
2. “Windows XP 핫픽스 - KB823980”이라는 항목이 있으면 이 웜의 공격으로부터 안전합니다.
Windows 2000
1. [시작] - [설정] - [제어판]의 [프로그램 추가/제거]를 선택합니다.
2. “Windows 2000 핫픽스 - KB823980”이라는 항목이 있으면 이 웜의 공격으로부터 안전합니다.
위와 같은 항목이 없으면 패치를 설치하여야 합니다.

3. 감염 증상

다음 중 한 가지 이상의 증상이 발생하는 경우, 웜의 공격을 받았거나 웜에 감염되었을 가능성이 많습니다.

- Wiindows XP의 경우 다음 메시지가 화면에 표시된 후 컴퓨터가 저절로 재부팅되는 일이 계속 반복됩니다.

- 작업 관리자에 MSBLAST.EXE가 실행되고 있습니다 (Ctrl + Shift + Esc를 눌러서 확인).

- Winnt\System32 또는 Windows\System32에 6,176 바이트 크기의 msblast.exe가 있습니다.

- 레지스트리 키
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 "windows auto update" 값이 만들어져서 내용이 MSBLAST.EXE로 되어 있습니다.

- 프로그램에서 복사와 붙여넣기가 되지 않습니다.

- Windows 탐색기에서 C:\Windows 또는 C:\Winnt 폴더의 파일들이 보이지 않습니다.

- Internet Explorer의 도움말 정보가 보이지 않습니다.

4. 치료 방법

이미 감염되었을 경우 패치 설치만으로 시스템이 정상화되지 않습니다. 다음과 같은 응급 조치를 취하십시오.

1) 이미 실행 중인 msblast.exe 종료하기
- Ctrl + Shift + Esc를 눌러서 [작업 관리자]를 엽니다.
- [프로세스] 탭에서 msblast.exe를 찾습니다. "이미지 이름" 줄을 눌러서 알파벳 순으로 정렬하면 쉽게 찾을 수 있습니다.
- msblast.exe를 선택하고 [프로세스 끝내기] 버튼을 누릅니다.

2) MS03-026 패치 다운로드
- 위 "예방 방법"에서 설명한 MS03-026 패치를 다운로드합니다.
- 곧바로 설치하지 않고, [저장]을 눌러서 안전한 위치에 저장합니다.

3) 네트워크 연결 끊기
- 재감염을 막기 위해 네트워크 케이블을 뽑습니다.
- 또한, Windows XP의 경우 [내 컴퓨터]의 [속성] 중 [시스템 복원] 탭에서 "모든 드라이브에 시스템 복원 사용 안 함"을 체크하십시오. 나중에 치료가 끝난 후에 필요에 따라 다시 체크를 제거할 수 있습니다.

4) 웜 파일 제거하기
- 탐색기에서 Windows\System32 또는 Winnt\System32를 엽니다.
- msblast.exe를 찾아서 삭제합니다.
- 휴지통으로 버렸을 경우 휴지통을 비웁니다.

5) 웜이 자동 실행되도록 하는 레지스트리 값 제거하기
- [시작] - [실행]에서 regedit를 실행합니다.
- [레지스트리 편집기]의 왼쪽 트리에서 다음 키를 선택합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 오른쪽 창에서 "windows auto update"라는 값을 선택합니다.
- Del 키를 눌러서 삭제합니다.
- [레지스트리 편집기]를 종료하고 컴퓨터를 재부팅합니다.

6) 패치 적용하기
- 위 단계와 같이 치료했다고 하더라도 패치가 설치되지 않은 컴퓨터는 쉽게 재감염될 수 있습니다. 따라서 앞서 다운 로드하여 보관중인 MS03-026 패치를 반드시 설치하십시오.
- "최소한 서비스 팩 2이(가) 설치되어야 합니다."라는 설치 오류가 발생하면 "2. 예방 방법"에서 설명한 서비스 팩 3을 설치하십시오.
- 패치가 설치된 후 컴퓨터를 다시 시작할 것인지 물을 때 반드시 다시 시작합니다.

7) 네크워크 케이블 연결 후 정상적으로 사용
주의: : 한 번 이 웜에 감염된 컴퓨터는 감염되어 있던 동안 공격자가 침입할 수 있는 경로를 열기 때문에 그 시간 동안 공격자가 시스템 설정을 바꾸거나 자료를 열람했을 수도 있습니다. 이 경우 포맷 후 시스템을 재설치하기 전까지는 안전하다고 볼 수 없습니다.

6. 문의

- 기술 지원 문의 전화: 한국마이크로소프트 기술지원센터 (02-508-0040)
- 해킹/바이러스 사고 접수: 한국정보보호진흥원 인터넷침해사고대응센터 (02-118)