웰치아
보이기
웰치아 웜(The Welchia worm), 나치 웜(Nachi worm)은 블래스터 웜과 비슷하게 마이크로소프트 원격 프로시저 호출(RPC) 서비스의 취약성을 부적절하게 이용하는 컴퓨터 웜이다. 그러나 블래스터와 달리 우선 블래스터가 있는지 검색하고 있으면 삭제하며 그 뒤 블래스터에 의해 추가 감염을 막을 수 있는 마이크로소프트의 보안 패치들을 다운로드하고 설치하는 것을 시도함으로써 유용한 웜(helpful worm)으로 분류된다. 웰치아는 블래스터의 삭제에 성공적이었으나 마이크로소프트는 보안 패치를 적용하는 것이 무조건 성공적이지 못했다고 주장하였다.[1]
이 웜은 마이크로소프트 윈도우 시스템 코드(TFTPD.EXE 및 TCP 포트 666~765, 그리고 포트 135의 RPC 버퍼 오버플로)의 취약성을 악용함으로써 시스템을 감염시켰다. 감염 방식은 원격 셸을 만들어 시스템에게 TFTP.EXE를 사용하여 웜을 다운로드하도록 지시하는 것이다. 더 구체적으로, 웰치아 웜은 윈도우 XP를 실행 중인 머신을 대상으로 하였다. 이 웜은 ICMP를 사용하였으며 일부 인스턴스에서는 ICMP 트래픽으로 인해 네트워크가 범람하면서 문제를 일으켰다.[2]
2003년 9월, 이 웜은 미국 국무부의 컴퓨터망에서 발견되었으며 네트워크가 다운되어 복구에 9시간이 소요되었다.[3]
같이 보기
[편집]각주
[편집]- ↑ Bransford, Gene (2003년 12월 18일). “The Welchia Worm”. 《Global Information Assurance Certification》. en:SANS Institute. 2018년 11월 3일에 확인함.
- ↑ Naraine, Ryan (2003년 8월 19일). “'Friendly' Welchia Worm Wreaking Havoc”. InternetNews.com. 2018년 11월 3일에 확인함.
- ↑ Labott, Elise (2003년 9월 24일). “'Welchia worm' hits U.S. State Dept. network”. CNN. 2018년 11월 3일에 확인함.