Worm.Welchia.h

Worm.Welchia.h,是一種蠕蟲病毒。該蠕蟲通過TCP連線埠135利用DCOM RPC漏洞(如Microsoft安全公告MS02-026中所述),利用此漏洞專門攻擊Windows XP計算機。另外,還可通過其它方式影響Windows 2000系統計算機。

基本介紹

  • 外文名:Worm.Welchia.h
  • 影響系統:Windows 2000, Windows XP
  • 病毒類型蠕蟲
  • 處理時間:2004-04-16
病毒信息,編寫工具,傳染條件,發作條件,

病毒信息

病毒別名:
威脅級別:★
中文名稱:

編寫工具

VC

傳染條件

通過 TCP 連線埠 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。該蠕蟲利用此漏洞專門攻擊運行 Microsoft IIS 5.0 的計算機。該蠕蟲利用這些漏洞,將會影響 Windows 2000 系統,並可能影響 Windows NT/XP 系統。
通過 TCP 連線埠 445 利用 Workstation 服務緩衝區溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通過 TCP 連線埠 445 利用 Locator 服務漏洞(如 Microsoft 安全公告 MS03-001 中所述)。該蠕蟲利用此漏洞專門攻擊 Windows 2000 計算機

發作條件

系統修改:
1,創建一個名為“WksPatch_Mutex”的互斥體。此互斥僅允許一個蠕蟲實例在記憶體中執行。
2,將自身複製為 %System%driverssvchost.exe
3,創建下列服務:
服務名稱:WksPatch
服務二進制檔案:%System%driverssvchost.exe
服務顯示名:結構形式為 %string1% %string2% %string3%,其中:
%string1% 為下列項目之一:
System
Security
Remote
Routing
Performance
Network
License
Internet
%string2% 為下列項目之一:
Logging
Manager
Procedure
Accounts
Event
%string3% 為下列項目之一:
Provider
Sharing
Messaging
Client
例如,服務顯示名可能為“Security Logging Sharing”。
如果存在名為“RpcPatch”的服務,請將其刪除。
4,通過查找以下註冊表鍵,檢查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerComDlg32Version
將嘗試刪除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲。該蠕蟲通過執行下列操作實現這一點:
刪除下列檔案:
%System%ctfmon.dll
%System%Explorer.exe
%System%shimgapi.dll
%System%TaskMon.exe
從註冊表鍵刪除值“Taskmon”:
HEKY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun
5,還原下列值:
"@"="%SystemRoot%System32webcheck.dll"
該值位於以下註冊表鍵:
HKEY_LOCAL_MACHINECLSID
InProcServer32
6,用下列文本覆蓋 HOSTS 檔案:
#
#
127.0.0.1 localhost
生成隨機 IP 地址,然後向這些 IP 地址傳送利用的數據,以嘗試感染系統:
向 TCP 連線埠 135 傳送數據以利用 DCOM RPC 漏洞
向 TCP 連線埠 80 傳送數據以利用 WebDav 漏洞。
向 TCP 連線埠 445 傳送數據以利用 Workstation 服務漏洞。
向 TCP 連線埠 445 傳送數據以利用 Locator 服務漏洞。
在隨機 TCP 連線埠上運行 HTTP 伺服器,以便存在漏洞的計算機可以重新連線到受感染計算機,然後進行本地下載並將蠕蟲作為 WksPatch.exe 執行。
如果受感染計算機的作業系統版本為日文版,請在 IIS Virtual Roots 和 %Windir%Help\IISHelpcommon 資料夾中搜尋具有下列擴展名的檔案:
.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp
7,如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統,從 Microsoft Windows Update 網站下載下列補丁之一:
下載地址見擴展閱讀
7,安裝補丁,然後重新啟動計算機。
該蠕蟲將在 2004 年 6 月 1 日或運行 120 天之後(二者中較早的日期)自行終止

相關詞條

熱門詞條

聯絡我們