중국 101.106.25.105 요 IP는 불법 윈도우를 위한 업데이트 서버(WSUS, Windows Server 업데이트 Services) 인데
그 업데이트 서버에 바이러스가 심어지면서 자동업데이트와 동시에 KillMBR이 PC에 감염,
일정시간이 되면서 KillMBR이 작동되었다는 말이 있음.
기사 펌. (발번역)
2003년에 유행한 SQL Server2000에 감염하는 SQL.... 바이러스가 있었던 후로 부터는 정품윈도우 도입이 추진되었으며, 이런 상태가 발생하기 어려워진 것은 사실이다.
하지만, 그것은 어디까지나 클라이언트 레벨이며, WSUS라고 하는 사내 패치 관리서버는 아직까지 비정규(불법)윈도우가 사용되고 있었을 확률이 높다. 이러한 불법OS 의 WSUS에서는 정품윈도우와 같은 방법으로 보안패치가 이루어지지 않는다.
마소에서 보안패치가 공개되면, 각 기업내에 있는 WSUS서버는 자기 PC가 보유하고 있는 업데이트 리스트와 에 마소에서 제공하는 업데이트 리스트가 일치하는지 확인을 하고 다운로드를 해야 할 파일 리스트를 SSL로 암호화시킨 뒤 다운로드한다.이때 실제로 다운로드를 시작하기 전에 그 WSUS 시스템이 정규 (정품)인지 아닌지 확인하는 작업이 이루어진다. 이 확인작업에서 불법윈도우의 WSUS서버라고 판단되었을 경우, 다운로드를 해야할 패치의 리스트는 다운로드가 가능하나 패치 자체의 다운로드는 이루어지지 않는다.
그러기 때문에 불법윈도우에는 불법윈도우에서 구축한 WSUS를 위해서 마소가 제공하는 패치와 거의 같은것을 마소와 전혀 상관이 없는 사이트에서 다운로드하는 기능이 있다. 그러나 이 사이트는 마소의 관리 대상이 아니라는 것이며, 여기서 배포하는 패치에 이번 바이러스가 심어져 있었을 수도 있다는 것. 마소가 정식으로 배포하는 보안패치에는 SSL로 암호화가 되어있을 것이라고 생각할수 있지만, 실은 통신경로에만 SSL로 암호화가 되어있을 뿐이다. 실제로 파일을 제공하는 것은 Akamai의 네트워크를 경우하고 있다.
따라서 불법 윈도우로 WSUS를 운영하는 관리자 또는 기업은, 이것을 눈치를 채지 못한 채 (정품윈도우를 사용하고 있다고 생각한 채) 계속 사용을 하고 있었던 가능성이 크다. 마소 외에서 제공하는 보안패치를 WSUS에 넣어, 이것을 정품 클라이언트 윈도우가 정기적인 업데이트에서 업데이트를 내려받아 패치를 하고있다고 생각할수 있다.
요약
1. 이번에 밝혀진 IP 101.106.25.105는 불법윈도우를 위한 업데이트 서버의 IP.
2. 사내 컴퓨터에는 정품을 사용하고 있으나, 사내 업데이트 서버는 아직 불법OS를 사용하고 있을 가능성이 큼.
3. 그 업데이트서버는 마소에서 제공하는 보안패치를 내려받지 못하며, 마소가 아닌 다른 서버에서 패치를 내려받음
4. 그 서버에 바이러스가 심어져있었으며, 사내 전체 PC가 윈도우 업데이트를 통해 이번 바이러스에 감염되었을 가능성이 크다.
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?ST=security