RPC 웜, msblast.exe
게시일: 2003/08/12 | 글쓴이: doa | 28166 번 | 프린트 | 메일


내일이 큰아들 생일이라 생일 선물로 놀이용 풀을 사주고 천천히 회사로 출근하는 중에 컴퓨터 경력 10년의 컴맹인 매형한테 전화가왔다. 컴퓨터를 켜면 채 1분이 안되 종료되며, MS의 버그인데 패치를 받으려고해도 받을 수 없다는 것이다. 매형 말만으로는 무슨 얘기인지 알 수 없어 사무실에 도착한 후 알아보았다. RPC의 취약점을 이용한 RPC 웜, MSBLAST.exe이 급속도로 퍼지고 있으며 이 웜에 걸린 경우 매형 컴퓨터와 비슷한 증상이 나타난다는 것이었다.

필자의 포럼 게시판에도 비슷한 질문이 올라왔지만 질문을 워낙 간단히해서 무시했었는데 무시할 일이 아닌 것같아 긴급히 처리하는 방법을 설명하겠다.

  1. 시삭/실행/cmd /k shutdown -a를 입력하고 확인을 클릭한다. 여기서 -a는 종료 프로세스가 진행중인 경우 해당 종료 프로세스를 중지하는 것이다.
  2. Ctrl-Shift-Esc를 눌러 윈도우즈 작업 관리자를 띄운다.
  3. 프로세스 탭을 클릭①하고 이미지 이름②을 클릭한다.
  4. msblast.exe를 찾아 클릭③하고 프로세스 끝내기 버튼을 클릭④한다.
  5. -F를 눌러 검색창을 띄운다.
  6. 모든 파일 및 폴더를 클릭한다.
  7. 전체 또는 일부 파일 이름msblast.exe를 입력하고 검색 시작 버튼을 클릭한다주1.
  8. 우측 패널에서 검색된 msblast.exe에 클릭하고 Shift-Del 키를 누른다주2.
  9. 파일 삭제 확인 창에서 를 클릭한다.
  10. 시작/실행/regedit를 입력하고 다음 레지스트리로 이동한다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  11. 우측 패널에서 REG_SZ형의 windows auto updatet을 클릭한 후 Del 키를 누러 삭제한다.
  12. 다음 사이트에서 버전별 패치를 다운받아 설치한다.


이 문서는 Microsoft Security Bulletin MS03-026 를 참조해서 작성되었습니다.

주1: 일반적으로 이파일은 %SystemRoot%\System32 폴더에 존재한다. 주2: 삭제되지않을 수도 있다. 이 것은 msblast.exe가 작업 관리자에는 나타나지않지만 아직도 실행되고 있기때문 발생한 현상이다. 이 경우 시스템을 재 부팅하거나 모든 프로세스 보기에서 소개한 Taskinfo 를 사용해서 프로세스를 종료하기 바란다.


RPC와 같은 중요한 서비스를 기동할 수 없는 경우 RPC 서비스는 보통 NOS에서 최상위 ... (18980) 2003-08-14
오류: 이 하드웨어에 대한 장치 드라이버를 초기화할 수 없습니다(코드 37) 필자의 강... (36084)2003-08-12

QAOS.com에 게시된지 1년 이상된 자료와 관리자가 공개한 자료는 누구나 제한없이 읽을 수 있습니다.
그러나 QAOS.com의 자료를 퍼가는 것은 금지하고 있습니다.

이 정보가 유용하다고 생각되시면 QAOS.com과 많은 다른 사람들을 위해 퍼가기 보다는 링크로 알려주시기 바랍니다.

세상사는 이야기



RSS 구독 (익명 | 회원 | 강좌 | 포럼)
(C) 1996 ~ 2017 QAOS.com All rights reserved.