| 词条 | Worm.Welchia.h |
| 释义 | § 概要 病毒别名: 处理时间:2004-04-16 威胁级别:★ 中文名称: 病毒类型:蠕虫 影响系统:Windows 2000, Windows XP 病毒行为: 编写工具: 传染条件: 通过 TCP 端口 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。 通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。 通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。 通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机 发作条件: 系统修改: 1,创建一个名为“WksPatch_Mutex”的互斥体。此互斥仅允许一个蠕虫实例在内存中执行。 2,将自身复制为 %System%driverssvchost.exe 3,创建下列服务: 服务名称:WksPatch 服务二进制文件:%System%driverssvchost.exe 服务显示名:结构形式为 %string1% %string2% %string3%,其中: %string1% 为下列项目之一: System Security Remote Routing Performance Network License Internet %string2% 为下列项目之一: Logging Manager Procedure Accounts Event %string3% 为下列项目之一: Provider Sharing Messaging Client 例如,服务显示名可能为“Security Logging Sharing”。 如果存在名为“RpcPatch”的服务,请将其删除。 4,通过查找以下注册表键,检查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version 将尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。该蠕虫通过执行下列操作实现这一点: 删除下列文件: %System%ctfmon.dll %System%Explorer.exe %System%shimgapi.dll %System%TaskMon.exe 从注册表键删除值“Taskmon”: HEKY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun 5,还原下列值: "@"="%SystemRoot%System32webcheck.dll" 该值位于以下注册表键: HKEY_LOCAL_MACHINECLSID InProcServer32 6,用下列文本覆盖 HOSTS 文件: # # 127.0.0.1 localhost 生成随机 IP 地址,然后向这些 IP 地址发送利用的数据,以尝试感染系统: 向 TCP 端口 135 发送数据以利用 DCOM RPC 漏洞。 向 TCP 端口 80 发送数据以利用 WebDav 漏洞。 向 TCP 端口 445 发送数据以利用 Workstation 服务漏洞。 向 TCP 端口 445 发送数据以利用 Locator 服务漏洞。 在随机 TCP 端口上运行 HTTP 服务器,以便存在漏洞的计算机可以重新连接到受感染计算机,然后进行本地下载并将蠕虫作为 WksPatch.exe 执行。 如果受感染计算机的操作系统版本为日文版,请在 IIS Virtual Roots 和 %Windir%Help\\IISHelpcommon 文件夹中搜索具有下列扩展名的文件: .shtml .shtm .stm .cgi .php .html .htm .asp 7,如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,从 Microsoft Windows Update 网站下载下列补丁之一: download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a /WindowsXP-KB828035-x86-CHS.exe download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59 /WindowsXP-KB828035-x86-KOR.exe download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a /WindowsXP-KB828035-x86-ENU.exe download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c /Windows2000-KB828749-x86-CHS.exe download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513 /Windows2000-KB828749-x86-KOR.exe download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9 /Windows2000-KB828749-x86-ENU.exe 8,安装补丁,然后重新启动计算机。 该蠕虫将在 2004 年 6 月 1 日或运行 120 天之后(二者中较早的日期)自行终止 § 相关条目 计算机 木马 病毒 网络 软件 系统 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。