.请关注:W32.Welchia.Worm病毒

来源:英雄联盟主播盘口发布时间:2012-12-25 15:44:28 | 编辑:stu1

 

2010-11-06 colins 点击:[ 4]

本文由 colins 于2003 8月 22 at 1:48pm 发表,已被阅读 17353 次

W32.Welchia.Worm

类别 4
发现时间: 2003.08.18
上次更新时间: 2003.08.21
专门杀毒工具:这里

由于提报的件数日渐增加,“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。

W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:

  • 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
  • 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
  • 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
  • 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
  • 此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。

 

也称为: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [KAV]
   
类型: Worm
感染长度: 10,240 bytes
   
   
   
受影响的系统: Windows 2000, Windows XP
未受影响的系统: Linux, Macintosh, OS/2, UNIX
CVE 参考: CAN-2003-0109, CAN-2003-0352
   
   

防护
  • 病毒定义 (Intelligent Updater)*

2003.08.18

  • 病毒定义 (LiveUpdate™) **

2003.08.18

*

Intelligent Updater 病毒定义会每天发布一次,并需要手动下载和安装。
单击这里以进行手动下载。

**

LiveUpdate 病毒定义通常会在每周三发布。
单击这里,可获得使用 LiveUpdate 的说明

威胁评估

广度:

  • 感染数量: 0 - 49
  • 站点数量: 0 - 2
  • 地理分布: 低度
  • 威胁遏制: 容易
  • 消除威胁能力: 容易

威胁度量

高度 中度 高度

广度:
高度

损坏程度:
中度

分发:
高度

 

损坏程度

  • 有效载荷:
    • 删除文件: 删除 msblast.exe。
    • 造成系统不稳定: 由于 RPC 服务当机,故易受威胁的Windows 2000 机器会遭遇系统不稳。
    • 危及安全设置: 在所有受感染的机器上安装 TFTP 服务器。

分发

  • 端口: TCP 135(RPC DCOM), TCP 80(WebDav)

技术详细说明

当 W32.Welchia.Worm 运行时,它会运行下列动作:

  1. 将自身复制到:%System%\Wins\Dllhost.exe
    注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
  2. 复制 %System%\Dllcache\Tftpd.exe 文件成为 %System%\Wins\svchost.exe 文件。
    注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。
  3. 将子键
    RpcPatch

    RpcTftpd

    加入注册键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  4. 建立下列服务:
    服务名称:RpcTftpd
    服务显示名称:网络联机共享
    服务二进制文件:%System%\wins\svchost.exe

    此服务将设定为手动启动。
    服务名称:RpcPatch
    服务显示名称:WINS Client
    服务二进制文件:%System%\wins\dllhost.exe

    此服务将设定为自动启动。
  5. 结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\msblast.exe 文件。
  6. 此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。
  7. 此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。
  8. 一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。
  9. 在受入侵的主机上建立一个远程 shell,然后透过 666 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。
  10. 在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。
  11. 检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。
  12. 一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。
  13. 检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了
Intruder Alert 3.6 W32_Welchia_Worm Policy

Norton Internet Security / Norton Internet Security Professional
2003 8 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Client Security
2003 8 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Gateway Security
  • 2003 8 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
  • Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。
Symantec Host IDS
2003 8 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Symantec ManHunt
  • Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
  • Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。

建议

 

赛门铁克安全响应中心主张所有用户和管理员都坚持以下良好的基本安全习惯。

  • 关闭或删除不需要的服务。默认情况下,许多操作系统会安装不危险的辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们,就减少了混合型威胁用于攻击的途径,并且在补丁程序更新时也减少了要维护的服务。
  • 如果
  • 混合型威胁利用了一个或多个网络服务,请在应用补丁程序之前禁用或禁止访问这些服务。
  • 实施应用最新的补丁程序,特别是在运行公共服务并可通过防火墙进行访问的计算机上,如 HTTP、FTP、邮件和 DNS 服务。
  • 强制执行密码策略。使用复杂的密码,即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。
  • 将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如 .vbs、.bat、.exe、.pif 和 .scr)的电子邮件。
  • 迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。
  • 教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补,访问受到安全威胁的网站也会造成感染。
消除威胁说明

使用 W32.Welchia.Worm 杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击
这里获取该工具。

手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
  1. 禁用系统还原(Windows Me/XP)。
  2. 更新病毒定义文件。
  3. 重新启动计算机或者结束蠕虫程序。
  4. 运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
  5. 删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。

同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。

有关如何禁用系统还原功能的指导,请参阅
如何禁用或启用 Windows Me 系统还原
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:
病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
  • 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)
  • 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)

    现在提供
    智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:
如何以安全模式启动计算机

Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
  1. 按一次 Ctrl+Alt+Delete。
  2. 单击“任务管理器”。
  3. 单击“进程”选项卡。
  4. 双击“映像名称”列标题,按字母顺序对进程排序。
  5. 滚动列表并查找 Dllhost.exe。
  6. 如果找到该文件,则单击此文件,然后单击“结束进程”。
  7. 退出“任务管理器”。
4. 扫描和删除受感染文件
  1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
    • Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件
    • 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件
  2. 运行完整的系统扫描。
  3. 如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:
如何备份 Windows 注册表
  1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
  2. 输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
  3. 导航至以下键:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  4. 删除子键:
    RpcPatch

    RpcTftpd
  5. 退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%\Wins 数据夹,然后删除 Svchost.exe 文件。

 

修订记录:
 

  • 2003 8 20 日:
    • 添加了有关 SCS IDS 特征可用性的信息。
    • 添加了有关 NIS/NIS Pro IDS 特征可用性的信息。
    • 更新了别名信息。
  • 2003 8 19 日:添加了有关 Symantec ManHunt 和 Symantec Intruder Alert 更新的信息。


 

作者: Benjamin Nahorney & Douglas Knowles, Frederic Perriot
 

colins37855.5786574074
 

上一条:关于Doomhunter 蠕虫病毒的紧急通告 下一条:关于W32.Blaster蠕虫的公告

关闭

 
 
 

XML 地图 | Sitemap 地图