W32.Welchia.Worm是一款病毒。
基本介紹
- 中文名:W32.Welchia.Worm
- 發現:2003 年 8 月 18 日
- 更新:2007 年 2 月 13 日 12:09:43 PM
- 類型: Worm
基本信息,詳細解讀,防護措施,
基本信息
發現:2003 年 8 月 18 日
更新:2007 年 2 月 13 日 12:09:43 PM
別名:W32/Welchia.worm10240 [AhnLab],W32/Nachi.worm [McAfee],WORM_MSBLAST.D [Trend],Lovsan.D [F-Secure],W32/Nachi-A [Sophos],Win32.Nachi.A [CA],Worm.Win32.Welchia [Kaspersky]
類型: Worm
感染長度:10,240 bytes
受感染的系統:Microsoft ⅡS,Windows 2000,Windows XP
CVE 參考:CAN-2003-0109 CAN-2003-0352
由於提報的件數日漸增加,“賽門鐵克安全機制應變中心“自 2003 年 8 月 18 日星期一下午 6 時起已將 W32.Welchia.Worm 的威脅等級提高為第 4 級。
* 使用 TCP 埠號 135 來探測 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕蟲會利用這種探測機制,鎖定 Windows XP 機器為攻擊目標。
* 使用 TCP 埠號 80 來探測 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕蟲會利用這種探測機制,鎖定運行 Microsoft ⅡS 5.0 的機器為攻擊目標。
W32.Welchia.Worm 運行時會運行下列動作:
* 此蠕蟲會試圖從Microsoft 的 Windows Update 網站下載 DCOM RPC 的更新檔案,加以安裝之後再重新啟動計算機。
* 此蠕蟲會藉由傳送 ICMP 回響或 PING 來檢查啟動中的機器以進行感染,導致 ICMP 流量增加。
* 此蠕蟲也會試圖移除 W32.Blaster.Worm。
賽門鐵克安全回響中心已經創建了用來殺除 W32.Welchia.Worm 的工具。單擊這裡獲取該工具。
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 8 月 18 日
* 病毒定義(智慧型更新程式) 2003 年 8 月 18 日
威脅評估
廣度
* 廣度級別:Low
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分布:High
* 威脅抑制:Moderate
* 清除:Moderate
損壞
* 損壞級別:Medium
* 刪除檔案:Deletes msblast.exe.
* 導致系統不穩定:Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
* 危及安全設定:Installs a TFTP server on all the infected machines.
分發
* 分發級別:Medium
* 連線埠:TCP 135(RPC DCOM),TCP 80(WebDav)
詳細解讀
當 W32.Welchia.Worm 運行時,它會運行下列動作:
⒈ 將自身複製到:%System%\Wins\Dllhost.exe
注意:%System% 代表變數。蠕蟲會找到 System 數據夾並將自己複製過去。默認的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。
⒉ 複製 %System%\Dllcache\Tftpd.exe 檔案成為 %System%\Wins\svchost.exe 檔案。
注意:Svchost.exe 是一種合法程式並非惡意程式,因此,賽門鐵克防毒產品無法偵測到它。
⒊ 將子鍵
RpcPatch
和
RpcTftpd
加入註冊鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
⒋ 建立下列服務:
服務名稱:RpcTftpd
服務顯示名稱:網路在線上共享
服務二進制檔案:%System%\wins\svchost.exe
此服務將設定為手動啟動。
服務名稱:RpcPatch
服務顯示名稱:WINS Client
服務二進制檔案:%System%\wins\dllhost.exe
此服務將設定為自動啟動。
⒌ 結束 Msblast 的程式,然後刪除由 W32.Blaster.Worm蠕蟲所留下的 %System%\msblast.exe 檔案。
⒍ 此蠕蟲會使用兩種不同的方式來選取受害者的 IP 地址。它會從受感染機器的IP (A.B.C.D) 中使用 A.B.0.0 並往上累加,或者根據某些內建的地址來隨機建立 IP 地址。當選定開始地址後,它會在類別 C 網路的地址範圍內往上累加。例如,若從 A.B.0.0 開始,它將往上累加到至少 A.B.255.255。
⒎ 此蠕蟲將傳送 ICMP 回響或 PING 來檢查所建立的 IP 地址是否為網路上啟用中的機器。
⒐ 在受入侵的主機上建立一個遠程 shell,然後透過 666 至 765 之間的隨機 TCP 埠號連線回發動攻擊的計算機以接收指示。
⒑ 在發動攻擊的機器上啟動 TFTP 伺服器,然後指示受害的機器連線至攻擊的機器並下載 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 檔案存在,則蠕蟲可能不會下載 svchost.exe。
⒒ 檢查計算機的作業系統版本、Service Pack 號碼以及“系統地區設定“,然後試圖連線至 Microsoft 的 Windows Update 網站並下載適當的 DCOM RPC 漏洞更新檔案。
⒓ 一旦更新檔案下載完成並加以運行後,此蠕蟲將重新啟動計算機以完成安裝更新檔案。
Intruder Alert
2003 年 8 月 19 日,賽門鐵克發布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通過 LiveUpdate 發布了 IDS 特徵以檢測 W32.Welchia.Worm 活動。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通過 LiveUpdate 發布了 IDS 特徵以檢測 W32.Welchia.Worm 活動。
Symantec Gateway Security
* 2003 年 8 月 18 日,Symantec 發布了 Symantec Gateway Security 1.0 的更新。
* Symantec 完整的應用程式檢查防火牆技術可以對此 Microsoft 漏洞提供保護,默認情況下禁止上面列出的所有 TCP 連線埠。為了最大程度地保證安全,第三代完整的應用程式檢查技術會智慧型地禁止通過 HTTP 信道進行的 DCOM 通信,從而提供大多數普通網路過濾防火牆尚不具備的額外保護層。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 發布了 Symantec Host IDS 4.1 的更新。
Symantec ManHunt
* Symantec ManHunt 協定異常檢測技術將與利用此漏洞相關聯的活動檢測為“連線埠掃描”。儘管 ManHunt 可以使用協定異常檢測技術檢測與利用此漏洞相關聯的活動,但您也可以使用在 Security Update 4 中發布的“Microsoft DCOM RPC Buffer Overflow”自定義特徵來精確地識別所傳送的漏洞利用數據。
* Security Update 7 發布了特別針對 W32.Welchia.Worm 的簽名以偵測 W32.Welchia.Worm 的更多特徵。
防護措施
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用 W32.Welchia.Worm 防毒工具防毒
賽門鐵克安全回響中心已經創建了用來殺除 W32.Welchia.Worm 的工具。這是消除此威脅的最簡便方法。單擊這裡獲取該工具。
手動防毒
作為使用該防毒工具的替代方法,您可以手動消除此威脅。
下列指示是針對市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。
⒈ 禁用系統還原(Windows Me/XP)。
⒉ 更新病毒定義檔案。
⒊ 重新啟動計算機或者結束蠕蟲程式。
⒋ 運行完整的系統掃描,刪除所有偵測到的 W32.Welchia.Worm 檔案。
⒌ 刪除 Svchost.exe。
如需關於這些步驟的詳細信息,請閱讀下列指示。
⒈ 禁用系統還原 (Windows XP)
如果您使用的是 Windows XP,我們建議您暫時禁用“系統還原“。Windows XP 使用這個默認啟用的功能,來還原您計算機上受損的檔案。如果病毒、蠕蟲或特洛伊木馬感染的計算機,“系統還原“可能會一併將計算機上的病毒、蠕蟲或特洛伊木馬備份起來。
Windows 會防止包括防毒程式的外來程式修改“系統還原“。因此,防毒程式或是工具並無法移除“系統還原“數據夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,“系統還原“還是很有可能會將受感染的檔案一併還原至計算機中。
同時,病毒可能會偵測到“系統還原“數據夾里的威脅,即使您已移除該威脅亦然。
有關如何禁用系統還原功能的指導,請參閱 如何禁用或啟用 Windows Me 系統還原。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
⒉ 更新病毒定義檔案
賽門鐵克 在將病毒定義發布到伺服器之前,會對所有病毒定義進行徹底測試,以確保其質量。可使用以下兩種方法獲取最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
⒊ 以安全模式重新啟動計算機或終止特洛伊木馬進程
Windows 95/98/Me
以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
Windows NT/2000/XP
要終止特洛伊木馬進程,請執行下列操作:
⒈ 按一次 Ctrl+Alt+Delete。
⒉ 單擊“任務管理器”。
⒊ 單擊“進程”選項卡。
⒋ 雙擊“映像名稱”列標題,按字母順序對進程排序。
⒌ 滾動列表並查找 Dllhost.exe。
⒍ 如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
⒎ 退出“任務管理器”。
⒋ 掃描和刪除受感染檔案
⒈ 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
⒉ 運行完整的系統掃描。
⒊ 如果有任何檔案被檢測為感染了W32.Welchia.Worm,請單擊“刪除”。
⒌ 刪除對註冊表所做的更改
警告:賽門鐵克強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
⒈ 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
⒉ 輸入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
⒊ 導航至以下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
⒋ 刪除子鍵:
RpcPatch
和
RpcTftpd
⒌ 退出註冊表編輯器。
⒍ 刪除 Svchost.exe 檔案
瀏覽至 %System%\Wins 數據夾,然後刪除 Svchost.exe 檔案。
描述者:Frederic Perriot
