네트워크 바이러스 주의보

네트워크 바이러스 주의보 - 기업.관공서 감염 확산
원문 : http://kidok.net/madang/content.php3?board=board33&uid=26&keyfield=&key=&bunho=33
최근 '펀러브'(Win32/FunLove.4099) 등 네트워크 바이러스의 감염이 확산되고 있어

컴퓨터 사용자 및 시스템 관리자들의 각별한 주의가 요구된다.

15일 안철수연구소, 하우리 등 컴퓨터 바이러스 백신 업체들에 따르면 펀러브를 비롯한

네트워크 바이러스의 감염이 최근 대기업, 공공기관, 언론사 등의 네트워크 환경을 중심으로 확산되면서 피해를 내고 있다.

네트워크 바이러스는 일단 한 PC에 감염되면 연결돼 있는 다른 PC로 전염돼,

모든 PC를 치료하지 않으면 치료한 PC도 다시 감염된다.

펀러브 바이러스의 경우 지난 8월 한달 동안 안철수연구소에 접수된 3천168건의피해신고 가운데 21%인 667건을 차지했으며, 이중 70여건은 기업 및 공공기관에서 신고한 것으로 나타났다.

펀러브 바이러스는 CIH 바이러스 이후 가장 장기간 피해를 일으키고 있다.

펀러브 바이러스는 윈도 95.98.NT의 실행 파일에 감염되며, 감염후

윈도 시스템폴더에 FLCSS.EXE 파일을 만든다.

이후 윈도 폴더, 프로그램파일 폴더 순으로 드라이브 파일을 감염시키고

쓰기 권한이 공유된 네트워크 환경 PC의 실행파일(EXE,OCX,SCR)도 모두 감염시킨다.

감염되면 파일을 파괴하거나 프린터 서버를 다운시키지는 않지만 시스템 작동이 느려진다.

펀러브 외에 크리츠(Win32.Kriz)와 그 변종(Win32.Kriz.4050) 및 e-메일을 통해 감염되는 아이웜(I-WORM.Win32.MTX) 바이러스도 최근 발견돼 시스템 장애 및 정보유출 등 피해가 우려되고 있다.

하우리의 권석철 사장은 "이들 네트워크 바이러스의 감염을 예방하려면

전체 시스템을 모니터링할 수 있는 방역 체계를 갖추는 것이 필수적"이라며 "

개인 사용자의 경우 읽기.쓰기를 공유하는 폴더는 가급적 없애야 한다"고 말했다.

---------------------------------------------------------------------------------------------

웜문 : http://cafe.naver.com/neteg.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=25334

 

제가 업체 사이에 네트워크 바이러스(중국발) 때문에 고생 하시는분들이 제법 많더군요.

증상은 트래픽이 폭주하는 바람에 인터넷이 끊기다는 겁니다.

특정 피씨의 맥어드레스를 복사하여 같은 맥어드레스가 동시에 8개씩 뜨는 신기한 현상이 일어났습니다.

아이피를 여분의 아이피로 바꾸면 잠시 인터넷이 또 되는 겁니다.

 

중국에서 만들어진것으로 중국내 사이트에 접속시 걸리는것으로 추정 되는데 이것 걸리면 전 pc를 동시에 고스트등으로 복원하지 않으면 쉽게 못잡더군요

또한 고스트 복원등을 하고도 다시 걸리는 경우도 많습니다.

아시는분들은 다 아시겠지만 네트워크 바이러스는 일반적인 백신으로 체크 않되는 경우가 많습니다.

PID 식별 하거나 패킷 분석등으로 해야 가능한 부분이 많습니다.

정확한 원인과 해결 방법은 무엇인가요?

한국통신 같은 ISP에서도 이것 때문에 요즘 골치 아프다고 하더군요

저런 네트워크 바이러스 빨랑 조치 못하면 시말서 쓰게되는 직원들이 자꾸 늘어서 문제 입니다.

 

그런증상 생길때보면 arp /a로보면 사용중인피시의 맥이보여지는데
ip1 맥 00 00 00 00
ip 2맥 00 00 00 00 
.......
ip60 맥 00 00 00 00 형태로 보여 지잖아요
자리마다 맥이 틀려야하는데 ip5번 피시맥과 ip1번맥이같이 보이는겁니다.

---------------------------------------------------------------------------------------------
백신에 걸리지 않는 네트워크 바이러스 찾는 법을 간단히 적어보겠습니다. 
왼쪽아래 시작 -> 실행 -> cmd 
도스화면에서 netstat -no 라고 입력하면 현재 네트워크를 사용중인 프로세서가 나오고 

PID 라는 프로세서 식별자가 나옵니다. 
이때 CTRL + ALT + DEL 을 누르셔서 작업관리자를 띄우시고 
작업관리자 메뉴의 보기 -> 열선택을 하신후 PID 를 선택합니다. 
현재 실행중인 프로세서중 도스화면에서 나온 PID와 같은것을 찾아서 
파일명을 네이버나 야후등과같은 검색엔진에 검색을 해봅니다. 
프로세스는 컴퓨터의 오른쪽 아래 트레이아이콘을 전부 종료한 상태에서 보통 20개 정도입니다. 
---------------------------------------------------------------------------------------------

http://blog.naver.com/redad30?Redirect=Log&logNo=70019102308

---------------------------------------------------------------------------------------------

같은회사내 다른 사람의 ip를 알아내는 방법은 없습니까???

ping -a 컴퓨터이름 하시면 컴퓨터이름옆에아이피정보가보입니다.

---------------------------------------------------------------------------------------------

여기서 님의 아이피를 사용하는 컴퓨터 이름을 찾을 수 있습니다.

 

 nbtstat -A 님 아이피를 치면 다음과 같은 결과를 볼수 있습니다.
로컬 영역 연결:
Node IpAddress: [님아이피] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
HOME-YOUNG <00> UNIQUE Registered
WORKGROUP <00> GROUP Registered
HOME-YOUNG <20> UNIQUE Registered
WORKGROUP <1E> GROUP Registered

MAC Address = 00-00-21-28-C2-89
..
---------------------------------------------------------------------------------------------

 IP주소의 체계

원문 : http://cafe.naver.com/comil.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=4616

---------------------------------------------------------------------------------------------

 네트워크내의 중복된 IP찾기

원문 : http://nootl.tistory.com/1739

학교 내에 많은 컴퓨터가 있다 보면 IP 주소 충돌 경고 메시지가 발생한다. 보통 DHCP를 이용해 IP를 관리하는 곳에서는 잘 발생하지 않지만 고정으로 IP 주소를 설정하는 네트워크 환경에서 하나의 IP 주소를 두 대의 컴퓨터에 입력하게 되면 충돌 메시지가 발생을 하며 네트워크 통신이 안 된다.

이럴 때 충돌되는 컴퓨터를 찾을 때 유용한 명령이 nbtstat(NetBIOS over TCP/IP state) 명령어로 NetBIOS가 사용하는 통계 및 이름 정보를 표시한다. IP 주소 충돌 메시지가 발생하면 컴퓨터를 끄고 다른 컴퓨터에서 nbtstat 명령으로 중복된 IP 주소를 입력해 컴퓨터 이름을 확인한 후에 충돌되는 컴퓨터의 IP 주소를 바꿔주면 된다.

■ 형식 : netstat [-옵션]

■ 옵션
-a : 모든 포트 출력
-c : 리스트를 초단위로 계속 출력
-i : 인터페이스 테이블을 출력
-l : Lesten 상태인 포트만 출력
-n : 포트를 숫자 형식으로 출력
-p : PID/Program 출력
-r : 라우팅 테이블을 출력
-s : 네트워크 통계 및 프로토콜 진단
-t : TCP 프로토콜을 사용하는 포트만 출력
-u : UDP 프로토콜을 사용하는 포트만 출력

■ 상태
- LISTEN : 항상 열려있는 포트로서 관리자가 허용하지 않은 포트가 LESTEN되어 있다면 의심을 해보아야 한다
- ESTABLISHED : 정상적으로 연결되어 사용되고 있는 포트
- TIME_WAIT : 사용이 종료되었지만 지정된 시간만큼 다른 명령을 기다리는 중
- FIN_WAIT 1 : 포트가 닫겼으며 연결이 종료되기 기다리는 중
- FIN_WAIT 2 : 연결이 완전히 닫긴 상태
- SYN_SENT : 원격지에서 해당 포트를 열려고 시도중
- UNKNOWN : 알수 없는 포트 상태

* nbtstat * TCP/IP 상의 NetBIOS를 사용해서 상대방 윈도 시스템의

MAC 주소, 사용자 이름, Login 이름, group 이름과 연결 상태 및 통계를 나타내는 명령어다.
NBTSTAT는 컴퓨터 이름으로 설치하셨을 경우만 가능합니다.

■ 형식 : nbtstat [-옵션]

NBTSTAT [-a remote_name] [-A IP_address] [-c] [-n] [-R] [-r] [-S] [-s] [interval]
옵션 기능

-a : 원격 컴퓨터의 이름을 나열한다. Gethostbyname()과 흡사한 기능으로,
컴퓨터의 IP 주소를 반환하고 그룹 이름과 로그인 이름 및
MAC 주소, IP 등을 화면에 표시한다.

-A : 원격 컴퓨터의 이름 테이블을 컴퓨터의 IP 주소로 나열한다.
Gerhostbyaddr()와 흡사한 기능으로, 컴퓨터의 이름을 반환하고
그룹 이름과 로그인 이름 및 MAC 주소, IP 등을
화면에 표시한다.

-c : 현재 시스템의 NetBIOS 이름 캐시의 내용을 나열하고,
각각의 이름에 IP 주소를 부여한다.

-n : 로컬 NetBIOS의 이름들을 나열한다.

-R : Reload의 의미로 NetBIOS의 이름 캐시로부터 모든 이름들을
깨끗이 지우고 LMHOSTS 파일을 다시 올린다.
Arp -d 명령과 흡사하며 LNHOSTS LOOKUP이
활성화되어 있는 컴퓨터에서 사용될 수 있다.

-r : 윈도 네트워크를 통한 이름 처리 통계를 나열한다.
WINS를 사용하도록 구성된 NT 컴퓨터에서 이 옵션은 브로드캐스트나
WINS를 통해 처리되거나 등록된 이름들을 숫자로 변환한다.

-S : 워크스테이션과 서버 세션을 모두 디스플레이하고,
원격 컴퓨터의 IP 주소만 나열한다.

-s : 워크스테이션과 서버 세션을 모두 디스플레이한다.
컴퓨터에 구성된 name resolution service를 사용하여 원격 컴퓨터의
IP 주소를 이름으로 바꾼다.

■ Interval 선택된 통계를 다시 표시할 때,
각 디스플레이 사이의 시간 간격을 초 단위로 지정한다.
^C키를 누르면 통계 표시가 중지된다. 파라미터가 생략되면,
nbtstat는 현 구성 정보를 한 번만 나타낸다.
RR Sends name Release packets to WINS and then, starts Refresh

 

---------------------------------------------------------------------------------------------