한국정보보호진흥원에서 Bat.Mumu.A웜 바이러스 예보 (웜)바이러스 주의예보가 발령

되었습니다. 이 바이러스는 공유를 이용하여 전파되는 웜임으로 쓰기 권한이 있는

공유폴더등에대한 비밀번호 관리에 만전을 기해 주시기 바랍니다.

특히 123, 1234, 12345 등이나 admin, pass, passwd등과 같이 쉽게 유추가 가능한

비밀번호는 바이러스에 의해 침입이 될수 있는 상황이비 유추하기 쉬운 비밀번호도

변경하시어 사용하시기 바랍니다.

 

 

-----------------[한국정보보호진흥원 경보 사항 시작]-------------------------

 

안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.

Bat.Mumu.A 웜 바이러스 예보 (웜)바이러스 주의예보를발령합니다.

------------------------------------------

[바이러스 주의예보VN2003255]

☆ 개요

Bat.Mumu.A 웜 바이러스는 중국에서 제작된 것으로 추청되며, 6월 5일 현재 이미 국내에 유입된 것으로 확인되었다. Bat.Mumu.A 웜은 IPC$공유를 통하여 전파되어 확산속도가 빠르고 키로깅 프로그램이 설치되어 사용자의 키보드 입력값이 노출될 수 있으므로 윈도우즈 사용자들의 주의가 요구된다.


☆ 전파방법

실행이 되면 랜덤한 IP 대역을 선정후 해당 IP 대역에 대하여 IPC$ 공유된 시스템을 찾고, 다음 리스트의 패스워드를 대입하여 연결을 시도한다.

- <패스워드가 설정되지 않은 경우>
- 123
- 1234
- 12345
- 123456
- admin
- pass
- passwd
- password

※이외에도 유추하기 쉬운 패스워드를 사용하는 것은 보안상 매우 취약하므로, 패스워드를 자신만 아는 고유한 패스워드로 길고 복잡하게 설정하는 것이 안전하다.


☆ 피해증상

성공적으로 접속이 되면 아래의 파일들을 해당 시스템으로 복사하고 실행한다.

- 10.BAT
- hack.bat
- hfind.exe
- ipc.bat
- IPCPass.txt
- MUMA.BAT
- NWIZe.EXE
- NWIZe.IN_
- NWIZe.INI
- pcMsg.dll
- psexec.exe
- RANDOM.BAT
- rep.EXE
- replace.bat
- START.BAT
- tihuan.txt
- NEAR.BAT

o 랜덤한 IP에 대해 스캔하고, 패스워드를 대입해 감염시키는 과정에서 네트워크 트래픽이 증가할수 있다.

o 키로깅프로그램이 설치되므로 사용자의 키보드 입력값이 노출될 수 있다.


☆ 감염시 치료방법

o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.


☆ 예방법

o 재감염을 막기 위해서는 반드시 사용하고 있는 계정의 패스워드를 자신만 알고있는 길고 복잡한 패스워드로 변경한다.


☆ 참조사이트

: http://hauri.co.kr/virus/vir_read.html?code=WOW3000397
: http://home.ahnlab.com/smart2u/virus_detail_1163.html

-----------------[한국정보보호진흥원 경보 사항 끝]-------------------------