W32.Welchia.B.Worm 是 W32.Welchia.Worm 的變種。如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統,則該蠕蟲將嘗試從 Microsoft® Windows Update 網站下載 Microsoft 工作站服務中的緩衝區溢出可能允許執行代碼 和 Microsoft Messenger 服務中的緩衝區溢出可能允許代碼執行 補丁,然後安裝補丁並重新啟動計算機。該蠕蟲還嘗試刪除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲。
基本介紹
- 中文名:W32.Welchia.B.Worm
- 發現:2004 年 2 月 11 日
- 更新:2007 年 2 月 13 日 12:20:50 PM
- 類型: Worm
基本信息,攻擊原理,威脅評估,建議,
基本信息
發現:2004 年 2 月 11 日
更新:2007 年 2 月 13 日 12:20:50 PM
別名:W32/Nachi.worm.b [McAfee],W32/Nachi-B [Sophos],Win32.Nachi.B [Computer Associ,WORM_NACHI.B [Trend],Worm.Win32.Welchia.b [Kaspersk
類型: Worm
感染長度:12,800 bytes
受感染的系統:Windows 2000,Windows XP
CVE 參考:CAN-2003-0812 CAN-2003-0352 CAN-2003-0109 CAN-2003-0003
由於提交次數的增加,Symantec 安全回響中心自 2003 年 2 月 13 日起,將此威脅的級別從 2 類提升為 3 類。
攻擊原理
W32.Welchia.B.Worm 利用多個漏洞,包括:
* 通過 TCP 連線埠 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。該蠕蟲利用此漏洞專門攻擊運行 Microsoft ⅡS 5.0 的計算機。該蠕蟲利用這些漏洞,將會影響 Windows 2000 系統,並可能影響 Windows NT/XP 系統。
* 通過 TCP 連線埠 445 利用 Workstation 服務緩衝區溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
出現 %Windir%\system32\drivers\svchost.exe 檔案表示可能已感染。
此威脅用 UPX 壓縮。
注意:日期為 2004 年 2 月 11 日的病毒定義修訂版 23(20040211.023 或定義版本 60211w)或更高版本可以檢測到此威脅。
Symantec™ 安全回響中心已經開發了一種防毒工具,可用來清除 W32.Welchia.B.Worm 感染。
防護
* 病毒定義(每周 LiveUpdate™) 2004 年 2 月 11 日
* 病毒定義(智慧型更新程式) 2004 年 2 月 11 日
威脅評估
廣度
* 廣度級別:Medium
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分布:High
* 威脅抑制:Easy
* 清除:Moderate
損壞
* 損壞級別:Low
* 刪除檔案:Deletes the files associated with W32.Mydoom.A@mm and W32.Mydoom.B@mm.
* 導致系統不穩定:Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
分發
* 分發級別:Medium
* 連線埠:TCP 80,135,445
W32.Welchia.B.Worm 運行時會執行下列操作:
⒈ 創建一個名為“WksPatch_Mutex”的互斥體。此互斥僅允許一個蠕蟲實例在記憶體中執行。
⒉ 將自身複製為 %System%\drivers\svchost.exe
注意:
* %System% 是一個變數。蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
⒊ 創建下列服務:
服務名稱:WksPatch
服務二進制檔案:%System%\drivers\svchost.exe
服務顯示名:結構形式為 %string1% %string2% %string3%,其中:
⒈ %string1% 為下列項目之一:
* System
* Security
* Remote
* Routing
* Performance
* Network
* License
* Internet
⒉ %string2% 為下列項目之一:
* Logging
* Manager
* Procedure
* Accounts
* Event
⒊ %string3% 為下列項目之一:
* Provider
* Sharing
* Messaging
* Client
例如,服務顯示名可能為“Security Logging Sharing”。
⒋ 如果存在名為“RpcPatch”的服務,請將其刪除。
注意:此服務是由 W32.Welchia.Worm 創建的。
⒌ 通過查找以下註冊表鍵,檢查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
⒈ 刪除下列檔案:
* %System%\ctfmon.dll
* %System%\Explorer.exe
* %System%\shimgapi.dll
* %System%\TaskMon.exe
⒉ 從註冊表鍵刪除值“Taskmon”:
* HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
⒊ 還原下列值:
"@"="%SystemRoot%\System32\webcheck.dll"
該值位於以下註冊表鍵:
HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
⒋ 用下列文本覆蓋 HOSTS 檔案:
#
#
127.0.0.1 localhost
⒎ 生成隨機 IP 地址,然後向這些 IP 地址傳送利用的數據,以嘗試感染系統:
* 向 TCP 連線埠 135 傳送數據以利用 DCOM RPC 漏洞。
* 向 TCP 連線埠 80 傳送數據以利用 WebDav 漏洞。
* 向 TCP 連線埠 445 傳送數據以利用 Workstation 服務漏洞。
* 向 TCP 連線埠 445 傳送數據以利用 Locator 服務漏洞。
⒏ 在隨機 TCP 連線埠上運行 HTTP 伺服器,以便存在漏洞的計算機可以重新連線到受感染計算機,然後進行本地下載並將蠕蟲作為 WksPatch.exe 執行。
⒐ 如果受感染計算機的作業系統版本為日文版,請在 ⅡS Virtual Roots 和 %Windir%\Help\\ⅡSHelp\common 資料夾中搜尋具有下列擴展名的檔案:
* .shtml
* .shtm
* .stm
* .cgi
* .php
* .html
* .htm
* .asp
注意:Virtual Roots 和 ⅡS Help 資料夾是在安裝 Microsoft Internet Information Services 伺服器時創建的。
⒑ 使用下列含有下列內容的 .htm 檔案覆蓋找到的檔案:
⒒ 如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統,請從 Microsoft Windows Update 網站下載下列補丁之一:見擴展閱讀
⒓ 安裝補丁,然後重新啟動計算機。
⒔ 該蠕蟲將在 2004 年 6 月 1 日或運行 120 天之後(二者中較早的日期)自行終止。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
使用 W32.Welchia.Worm 防毒工具防毒
Symantec 安全回響中心已經開發了一種防毒工具,可用來清除 W32.Welchia.B.Worm 感染。這是消除此類威脅的最簡便方法,應該首先嘗試使用此工具。要獲取 W32.Welchia.Worm 防毒工具,請閱讀文檔:W32.Welchia.Worm 防毒工具。
手動刪除
作為防毒工具的替代,您也可以依照下列說明手動刪除。以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
⒈ 禁用系統還原 (Windows Me/XP)。
⒉ 更新病毒定義。
⒊ 將計算機重啟到安全模式或者 VGA 模式
⒋ 運行完整的系統掃描,並刪除所有檢測為 W32.Welchia.B.Worm 的檔案。
有關每個步驟的詳細信息,請閱讀以下指導。
⒈ 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
⒉ 更新病毒定義
賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
⒊ 將計算機重啟到安全模式或者 VGA 模式
請關閉計算機,等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
* Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作業系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機。
* Windows NT 4 用戶:將計算機重啟到 VGA 模式。
