Conficker Worm 악성코드란?

Conficker 악성코드란?

 

1. 악성코드 개요

 

컨피커(Conficker)는 2008년 말부터 확산되기 시작한 악성코드로

Conficker, Kido, DownUp 등 다양한 이름으로 알려져 있으며, 악성코드 변종도 매우 다양하다.

컨피커(Conficker) 악성코드는 Windows 서버 서비스 취약점을 이용해 주로 감염되며

해당 취약점의 경우 MS08-067 – 긴급 보안 패치를 이용하여 대처 가능하다.

또한 공유 폴더, USB 등을 통해 감염 가능성이 있다.

 

 

Conficker 악성코드의 감염 시 사용자의 PC 설정에 따라 다음과 같은 증상이 나타날 수 있다.

 

1.     계정 잠금 정책이 자동적으로 초기화된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

 

 

해당 악성코드의 경우 2008년 말부터 존재하는 악성코드로, Windows 보안 패치 및 백신 프로그램으로 간단하게 치료 가능하나, 사용자 환경이 폐쇄적인 시스템 혹은 업데이트 불가능할 경우, 악성코드 감염되지 않도록 주의해야한다.

 

 

2. 악성코드 감염 증상

 

컨피커(Conficker) 악성 코드 감염 시 다음과 같은 증상이 나타날 수 있다.

 

1.     계정 잠금 정책이 자동적으로 초기화된다.

è  관리자 계정 암호를 해독하기 위해 무차별 대입 공격 기법(brute force attack)을 사용하여, 관리자 계정을 탈취 시도하며 성공할 경우 계정 비밀번호 변경 및 다음 악성행위를 위해 사용자 PC 환경을 강제로 변경한다.

    ※ 관리자 계정 탈취시 공유폴더 (ADMIN$)에 요청하여 Windows\System32 內 랜덤한 이름의 악성코드 파일 생성하며,

       악성파일이 동작할수있도록 작업스케줄러를 생성하게된다.

2.     백신 프로그램 제작사 웹사이트 혹은 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.

è  MS08-067 – Windows 긴급 보안 패치 및 백신 프로그램에 치료되지 않게

Windows 및 백신 사이트에 접속할 수 없게 인터넷 환경(DNS)을 강제로 변경시킨다

 

3.     시스템 네트워크가 비주기적으로 혼잡 해져 속도가 느려 진다.

è  Conficker 악성코드 감염 시 랜덤 IP 혹은 B 클래스 IP 대역을 대상으로

TCP 445(SMB) 포트를 이용하여, 대량의 트래픽을 발생시켜 네트워크 속도를 저하시킨다.

 

4.     도메인 컨트롤러가 클라이언트의 요청에 느리게 대답한다.

 

 

 

 

 

 

3. 악성코드 치료 방법

컨피커(Conficker) 악성 코드 치료 방법은 국내/해외 백신 프로그램으로 치료 가능하며

백신 프로그램으로 악성코드 제거후 반드시 재부팅을 해야한다.

è  재부팅을 하지않을경우 시스템 메모리에 동작하는 Conficker가 다시 생성될 가능성이 있다.

1. AhnLab_Conficker 전용백신

https://www.ahnlab.com/kr/site/download/product/productVaccineView.do?seq=80

2. (주)하우리 전용백신

https://www.hauri.co.kr/download/vaccine_view.html?uid=90

3. 수동 제거 방법

https://support.microsoft.com/ko-kr/help/962007/virus-alert-about-the-win32-conficker-worm

 

4. 악성코드 예방 방법

컨피커(Conficker) 악성 코드 예방방법은 간단하다.

1. 관리자 계정 복잡성 높은 비밀번호 변경

2. Windows 보안 업데이트

구버전일경우 해당 페이지에서 긴급 보안 업데이트 

https://docs.microsoft.com/ko-kr/security-updates/SecurityBulletins/2008/ms08-067