Win32/Conficker.worm 변형 확산

작년 말부터 조금씩 등장하기 시작한 Win32/Conficker.worm 이 2009년 1월 초부터 극성을 부리고 있다.

MS08-067 취약점을 이용하는 새로운 Win32/Conficker.worm 변형이 확산되고 있다.
이 웜은 치료를 어렵게하는 방해하는데 좀 더 기능이 보강되었다.

안철수연구소는 2009년 1월 7일 저녁 국내에서 새로운 변형에 대한 보고를 받아서 전용 백신을 제공하고 있으며 새로운 변형이 계속 발견되고 있다.


[기사]-------------------------------------------------------------------------------

- 안철수연구소, 인터넷 장애 유발하는 웜 확산 경고 (디지털데일리)

http://www.ddaily.co.kr/news/news_view.php?uid=45737

- 인터넷 느려지는 웜 확산 '백신진단 요망' (이데일리)

http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02414086589555752&clkcode=00203&DirCode=0030503&curtype=read

- 기사에 나온 V3 진단명 Win32/Conficker.worm.173318 
파일길이 : 173,318 바이트
MD 값 : fd79c4f8d7e35960f08a1bdd4f306d4d

2009년 1월 13일 현재 기사에 나온 샘플 외 다양한 변형이 퍼지고 있고 있다.

시만텍에서도 유사 웜에 대한 경고를 내렸다.

- 시만텍 "MS 취약점 이용한 웜 주의" (아이뉴스24)

http://itnews.inews24.com/php/news_view.php?g_serial=385802&g_menu=020200


[분석 정보]

- 안철수연구소
http://kr.ahnlab.com/info/smart2u/virus_detail_24705.html

- 시만텍
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=2


[안랩 전용백신 다운로드]----------------------------------------------------------------

2009년 1월 13일 현재 새로운 변형이 계속 등장하고 있어 전용 백신은 계속 업데이트되고 있다.

http://kr.ahnlab.com/dwVaccineView.ahn?num=80&cPage=1


[예방법]
- 최신 윈도우 업데이트 적용 (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
- V3 인터넷시큐리티 등의 방화벽 프로그램을 이용해 MS08-067 취약점 공격 패킷 차단




[VirusTotal 결과]

1) 2009년 1월 8일 오후 5시 29분 검사 결과

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.73	2009.01.08	-
AhnLab-V3	2009.1.8.0	2009.01.08	Win32/Conficker.worm.173318
AntiVir	7.9.0.45	2009.01.07	-
Authentium	5.1.0.4	2009.01.07	-
Avast	4.8.1281.0	2009.01.07	Win32:Confi
AVG	8.0.0.199	2009.01.07	-
BitDefender	7.2	2009.01.08	-
CAT-QuickHeal	10.00	2009.01.08	I-Worm.Kido.dq
ClamAV	0.94.1	2009.01.08	-
Comodo	891	2009.01.07	-
DrWeb	4.44.0.09170	2009.01.08	-
eSafe	7.0.17.0	2009.01.06	Suspicious File
eTrust-Vet	31.6.6296	2009.01.07	-
Ewido	4.0	2008.12.31	-
F-Prot	4.4.4.56	2009.01.07	-
F-Secure	8.0.14470.0	2009.01.08	-
Fortinet	3.117.0.0	2009.01.08	PossibleThreat
GData	19	2009.01.08	Win32:Confi
Ikarus	T3.1.1.45.0	2009.01.08	-
K7AntiVirus	7.10.581	2009.01.07	-
Kaspersky	7.0.0.125	2009.01.08	Net-Worm.Win32.Kido.dq
McAfee	5488	2009.01.07	W32/Conficker.worm.gen.a
McAfee+Artemis	5488	2009.01.07	W32/Conficker.worm.gen.a
Microsoft	1.4205	2009.01.08	Worm:Win32/Conficker.B
NOD32	3749	2009.01.07	a variant of Win32/Conficker.AE
Norman	5.99.02	2009.01.07	-
Panda	9.0.0.4	2009.01.08	-
PCTools	4.4.2.0	2009.01.07	-
Prevx1	V2	2009.01.08	Worm
Rising	21.11.31.00	2009.01.08	-
SecureWeb-Gateway	6.7.6	2009.01.07	-
Sophos	4.37.0	2009.01.08	Mal/Conficker-A
Sunbelt	3.2.1809.2	2008.12.22	-
Symantec	10	2009.01.08	Trojan.LinkOptimizer
TheHacker	6.3.1.4.212	2009.01.08	W32/Kido.dq
TrendMicro	8.700.0.1004	2009.01.08	WORM_DOWNAD.AD
VBA32	3.12.8.10	2009.01.07	Net-Worm.Win32.Kido.dq
ViRobot	2009.1.8.1549	2009.01.08	-
VirusBuster	4.5.11.0	2009.01.07	-

2) 2009년 1월 13일 오전 11시 검사 결과

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.73	2009.01.13	-
AhnLab-V3	2009.1.10.0	2009.01.13	Win32/Conficker.worm.173318
AntiVir	7.9.0.54	2009.01.12	Worm/Kido.DQ
Authentium	5.1.0.4	2009.01.13	-
Avast	4.8.1281.0	2009.01.12	Win32:Confi
AVG	8.0.0.229	2009.01.13	I-Worm/Generic.CNK
BitDefender	7.2	2009.01.13	Win32.Worm.Downadup.Gen
CAT-QuickHeal	10.00	2009.01.12	I-Worm.Kido.dq
ClamAV	0.94.1	2009.01.12	-
Comodo	919	2009.01.12	-
DrWeb	4.44.0.09170	2009.01.12	Win32.HLLW.Shadow.based
eSafe	7.0.17.0	2009.01.12	Suspicious File
eTrust-Vet	31.6.6304	2009.01.12	Win32/Conficker
F-Prot	4.4.4.56	2009.01.12	-
F-Secure	8.0.14470.0	2009.01.13	-
Fortinet	3.117.0.0	2009.01.13	PossibleThreat
GData	19	2009.01.13	Win32.Worm.Downadup.Gen
Ikarus	T3.1.1.45.0	2009.01.13	-
K7AntiVirus	7.10.584	2009.01.09	-
Kaspersky	7.0.0.125	2009.01.13	Net-Worm.Win32.Kido.dq
McAfee	5493	2009.01.12	W32/Conficker.worm.gen.a
McAfee+Artemis	5493	2009.01.12	Generic!Artemis
Microsoft	1.4205	2009.01.13	Worm:Win32/Conficker.B
NOD32	3760	2009.01.12	a variant of Win32/Conficker.AE
Norman	5.93.01	2009.01.12	-
Panda	9.4.3.3	2009.01.12	W32/Conficker.B.worm
PCTools	4.4.2.0	2009.01.12	-
Prevx1	V2	2009.01.13	Worm
Rising	21.12.02.00	2009.01.12	-
SecureWeb-Gateway	6.7.6	2009.01.12	Worm.Kido.DQ
Sophos	4.37.0	2009.01.13	Mal/Conficker-A
Sunbelt	3.2.1831.2	2009.01.09	-
Symantec	10	2009.01.13	W32.Downadup.B
TheHacker	6.3.1.4.218	2009.01.11	W32/Kido.dq
TrendMicro	8.700.0.1004	2009.01.12	WORM_DOWNAD.AD
VBA32	3.12.8.10	2009.01.12	Net-Worm.Win32.Kido.dq
ViRobot	2009.1.12.1554	2009.01.12	Worm.Win32.Net-Kido.173318
VirusBuster	4.5.11.0	2009.01.12	-