콘피커

위키백과, 우리 모두의 백과사전.
이동: 둘러보기, 검색

콘피커(Conficker)는 2008년 10월부터 확산되기 시작한 컴퓨터 이다.[1] 다운업(Downup), 다운애드업(Downadup), 키도(Kido)라는 이름으로도 알려져 있다. 콘피커 웜은 윈도 2000, 윈도 XP, 윈도 비스타, 윈도 서버 2003, 윈도 서버 2008의 윈도 서버 서비스의 취약점을 이용해 공격한다.[2]

마이크로소프트는 2008년 10월 23일에 웜의 작동을 중지할 수 있는 패치를 배포했다.[3] 그렇지만 퀄시스 사는 전체 PC의 30% 가량이 이 업데이트를 설치하지 않은 것으로 분석했다.[4]

콘피커가 등장한 이후 여러 변종 웜이 추가적으로 발견되었다. 콘피커.A(Conficker.A)는 2008년 11월 21일에, 콘피커.B(Conficker.B)는 2008년 12월 29일에, 콘피커.C(Conficker.C)는 2009년 2월 20일, 콘피커.D는 2009년 3월 4일, 콘피커.E는 2009년 4월 7일에 처음 발견되었다.

감염시 활동[편집]

컴퓨터에서 실행되었을 때 윈도 자동 업데이트, 윈도 관리 센터, 윈도 디펜더, 윈도 오류 보고 같은 시스템 서비스 몇 개를 비활성화해버린다. 그런 다음 서버에 연결해 추가로 전파할 명령을 받고, 개인 정보를 전송하고, 숙주가 된 컴퓨터에 맬웨어를 다운로드해 설치한다.[5] 또한 이 웜은 svchost.exe, explorer.exe, services.exe 같은 중요한 윈도 프로세스에도 감염시킨다.[6]

증상은 다음과 같다.

  • 계정 잠금 정책이 자동적으로 초기화된다.
  • 안티바이러스 소프트웨어의 제작사 웹사이트나 윈도 시스템 업데이트 홈페이지에 접속할 수 없다.
  • 시스템 네트워크가 비주기적으로 혼잡해져 속도가 느려진다.
  • 도메인 콘트롤러가 클라이언트의 요청에 느리게 대답한다.

또한 이 웜은 암호가 될 수 있는 값들을 대입하여 해독하는 수법인 무차별 대입 공격으로 관리자 계정의 암호를 알아내려 하므로 관리자 암호를 어렵게 지정할 것을 권한다.

제거 및 예방[편집]

마이크로소프트에서 제거 도구를 다운로드할 수 있으며 예방을 위해서 오토런 기능을 중지할 것을 권장하고 있다.

주석[편집]

  1. "Windows worm numbers 'skyrocket'", 《BBC》, 2009년 1월 19일 작성.
  2. "Worst virus in years infects 6.5 mn computers", 《CNN-IBN》, 2009년 1월 17일 작성.
  3. Microsoft Security Bulletin MS08-067 – Critical.
  4. Gregg Keizer. "“PC 3대중 한 대는 다운애드웜 공격에 취약”", 《COMPUTERWORLD-IDG》, 2008년 1월 16일 작성.
  5. Jeff Bertolucci. "Getting Worse: Here's How to Protect Yourself", 《PCWORLD》, 2009년 1월 17일 작성.
  6. F-Secure Malware Information Pages: Worm:W32/Downadup.AL.

외부 사이트[편집]