윈도우의 SMB(Server Message Block)/CIFS(Common Internet File System)의 취약점을 이용해 네트워크로 침투하여 주요 파일들을 암호화한 후 돈을 요구한다.
윈도우 XP는 SMB(Server Message Block)/CIFS(Common Internet File System) 가 기본으로 설치 되지 않는다. 따라서 상관없다.
SMB 취약점 영향을 받는 시스템은 다음과 같다.
자신의 로컬 IP대역의 D클래스 대역을 (xxx.xxx.xxx.1~255) 을 스캔하여 SMB 프로토콜 패킷을 반복하여 전송한다.
이후 수신되는 데이터를 검증하여 취약점이 발생하는 SMB 패킷 헤더에 실행코드를 추가한 데이터를 추가 전송한다. 타겟 시스템의 운영체제가 취약점 패치되지 않은 환경일 경우 악의적인 쉘코드가 동작한다.
출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]
출처: http://asec.ahnlab.com/1067 [ASEC Threat Research & Response blog]