콘피커

콘피커
다른 이름	Mal/Conficker-A (소포스); Win32/Conficker.A (ESET); Win32/Conficker.A (CA); W32.Downadup (시만텍); W32/Downadup.A (F-Secure); Conficker.A (판다); Net-Worm.Win32.Kido.bt (카스퍼스키); W32/Conficker.worm (맥아피); Win32.Worm.Downadup.Gen (비트디펜더); Win32:Confi (아바스트!); WORM_DOWNAD (트렌드 마이크로); Worm.Downadup (ClamAV);
분류	알 수 없음
유형	컴퓨터 바이러스
아형	컴퓨터 웜

콘피커(Conficker)는 2008년 10월부터 확산되기 시작한 컴퓨터 웜이다.^[1] 다운업(Downup), 다운애드업(Downadup), 키도(Kido)라는 이름으로도 알려져 있다. 콘피커 웜은 윈도우 2000, 윈도우 XP, 윈도우 비스타, 윈도우 서버 2003, 윈도우 서버 2008의 윈도 서버 서비스의 취약점을 이용해 공격한다.^[2]

마이크로소프트는 2008년 10월 23일에 웜의 작동을 중지할 수 있는 패치를 배포했다.^[3] 그렇지만 퀄시스 사는 전체 PC의 30% 가량이 이 업데이트를 설치하지 않은 것으로 분석했다.^[4]

콘피커가 등장한 이후 여러 변종 웜이 추가적으로 발견되었다. 콘피커.A(Conficker.A)는 2008년 11월 21일에, 콘피커.B(Conficker.B)는 2008년 12월 29일에, 콘피커.C(Conficker.C)는 2009년 2월 20일, 콘피커.D는 2009년 3월 4일, 콘피커.E는 2009년 4월 7일에 처음 발견되었다.

감염시 활동 편집

컴퓨터에서 실행되었을 때 윈도 자동 업데이트, 윈도 관리 센터, 윈도우 디펜더, 윈도 오류 보고 같은 시스템 서비스 몇 개를 비활성화해버린다. 그런 다음 서버에 연결해 추가로 전파할 명령을 받고, 개인 정보를 전송하고, 숙주가 된 컴퓨터에 맬웨어를 다운로드해 설치한다.^[5] 또한 이 웜은 svchost.exe, explorer.exe, services.exe 같은 중요한 윈도 프로세스에도 감염시킨다.^[6]

증상은 다음과 같다.

계정 잠금 정책이 자동적으로 초기화된다.
안티바이러스 소프트웨어의 제작사 웹사이트나 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.
시스템 네트워크가 비주기적으로 혼잡해져 속도가 느려진다.
도메인 콘트롤러가 클라이언트의 요청에 느리게 대답한다.

또한 이 웜은 암호가 될 수 있는 값들을 대입하여 해독하는 수법인 무차별 대입 공격으로 관리자 계정의 암호를 알아내려 하므로 관리자 암호를 어렵게 지정할 것을 권한다.

제거 및 예방 편집

마이크로소프트에서 제거 도구를 다운로드할 수 있으며 예방을 위해서 오토런 기능을 중지할 것을 권장하고 있다.

각주 편집

↑ “Windows worm numbers 'skyrocket'”. BBC. 2009년 1월 19일.
↑ “Worst virus in years infects 6.5 mn computers”. CNN-IBN. 2009년 1월 17일. 2009년 1월 19일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.
↑ “Microsoft Security Bulletin MS08-067 – Critical”. 2010년 4월 9일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.
↑ Gregg Keizer (2008년 1월 16일). ““PC 3대중 한 대는 다운애드웜 공격에 취약””. COMPUTERWORLD-IDG. ^{[깨진 링크(과거 내용 찾기)]}
↑ Jeff Bertolucci (2009년 1월 17일). “Getting Worse: Here's How to Protect Yourself”. PCWORLD. 2009년 1월 21일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.
↑ “F-Secure Malware Information Pages: Worm:W32/Downadup.AL”.

외부 사이트 편집

An Analysis of Conficker (영어)
An Analysis of Conficker C (영어)

[1] “Windows worm numbers 'skyrocket'”. BBC. 2009년 1월 19일.

[2] “Worst virus in years infects 6.5 mn computers”. CNN-IBN. 2009년 1월 17일. 2009년 1월 19일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.

[3] “Microsoft Security Bulletin MS08-067 – Critical”. 2010년 4월 9일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.

[4] Gregg Keizer (2008년 1월 16일). ““PC 3대중 한 대는 다운애드웜 공격에 취약””. COMPUTERWORLD-IDG. ^{[깨진 링크(과거 내용 찾기)]}

[5] Jeff Bertolucci (2009년 1월 17일). “Getting Worse: Here's How to Protect Yourself”. PCWORLD. 2009년 1월 21일에 원본 문서에서 보존된 문서. 2009년 1월 20일에 확인함.

[6] “F-Secure Malware Information Pages: Worm:W32/Downadup.AL”.

[1]

[2]

[3]

[4]

[5]

[6]


다른 이름	Mal/Conficker-A (소포스) Win32/Conficker.A (ESET) Win32/Conficker.A (CA) W32.Downadup (시만텍) W32/Downadup.A (F-Secure) Conficker.A (판다) Net-Worm.Win32.Kido.bt (카스퍼스키) W32/Conficker.worm (맥아피) Win32.Worm.Downadup.Gen (비트디펜더) Win32:Confi (아바스트!) WORM_DOWNAD (트렌드 마이크로) Worm.Downadup (ClamAV)
분류	알 수 없음
유형	컴퓨터 바이러스
아형	컴퓨터 웜