어제부터인가? 갑작스런 Lsass.exe 파일 오류로 1분만에 종료되는 악몽에 시달렸습니다.

그래서 이미 백업해 놓은 운영체제로 복구하였으나 다시 재발하네요.

조회해보니

- Win32/AgoBot.worm.278528
- Win32/AgoBot.worm.175596
- Win32/AgoBot.worm.344576
- Win32/AgoBot.worm.283648

요넘들 때문이더군요. 그래서 이전 Msblast 것들처럼 사투를 시작하기로 마음먹고 차근차근 해결책을 찾았습니다.

일단 이 넘들 걸리면 Lsass.exe 오류 종료뿐만 아니라 시스템 종료 버튼까지 앗아가 버립니다. 거의 Guest 수준으로 제어권한이 축소되죠. 그래서 파일 공유 같은 것들도 안 됩니다.

그러므로 위 증상이 생겼다면 제가 한 방법으로 제거하면 되겠습니다.

1. lsass.exe 종료 버그 시..

shutdown -a 명령으로 일단 위 오류를 끕니다.

2. 필터링 프로그램과 Win32/AgoBot.worm 검색/치료 기능이 있는 툴을 다운로드 받습니다.

안철수 바이러스 연구소의 전용 백신툴 등을 받으시면 됩니다.

3. 마소홈피에서 아래의 4월 긴급 Hot-fix를 받습니다.

Security Bulletin MS04-011

KB835732

; 꼭 필요한 긴급 패치입니다.

Security Bulletin MS04-012

KB828741

; 꼭 필요한 긴급 패치입니다.

Security Bulletin MS04-013

KB837009

; Outlook Express 6 버전을 사용하는 사용자는 꼭 받으세요.

4. 이제 PC를 재시작해야 합니다. 종료 버튼이 없어졌죠? 그럼 로그오프 - 사용자 전환으로 가서 시스템 종료 - 재시작하면 된답니다..^^

5. 부팅후 바로 아래의 패킷차단필터를 실행합니다. 그러면 일단 해당 패킷은 차단됩니다.

V3FirstBlock for LSASS Vulnerability

6. 이제 전용 백신을 돌립니다.

잡히는 경우도 있고, 제 경우에는 못 잡더군요.

7. 위에 마소에서 받은 핫픽스를 적용합니다.

따로 따로 적용하기 짜증나므로 자동 설치 키워드를 사용하여 설치합시다.

위 핫픽스를 풀어놓은 폴더에 가서 install.cmd 라는 파일을 만들고 그 안에 아래의 명령을 입력합니다. 그전에 긴 파일명을 KB835732.exe 식으로 줄여놓으면 좋겠죠?

start /wait KB835732.exe /Q /M /Z

start /wait KB828741.exe /Q /M /Z

start /wait KB837009.exe /Q:A /R:N

start /wait KB837001.exe /Q /M /Z

exit

이제 파일을 저장하고 install.cmd를 실행하면 도스창이 뜨면서 자동으로 설치가 진행됩니다.

창이 닫히면 시스템을 재부팅하기 바랍니다.

이상입니다. Administrator에 계정 암호를 넣어서 제어권한을 탈취당하지 않도록 하시면 됩니다.

※ 주의! Windows 2000 제품군에서 Security Bulletin MS04-011 이것을 실행하면 시스템 멈춤, 로그인 불가 등의 문제가 발생한답니다. 아직까지 Windows 2000에서 위와같은 증상이 없어서 적용하고 있지는 않지만 해결 패치가 나올 때까지 조심하셔야 겠네요.

P.S 무인 자동 설치 CD에 위 Hotfix를 적용해야 겠네요. 생각보다 강력한 넘들이라.. 주의를 요합니다.

이놈의 마소.. 언제쯤 제대로된 운영체제 내놓을지..T-T