发现： 2003 年 8 月 18 日

更新： 2007 年 2 月 13 日 12:09:43 PM

别名： W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]

类型: Worm

感染长度： 10,240 bytes

受感染的系统： Microsoft IIS, Windows 2000, Windows XP

CVE 参考： CAN-2003-0109 CAN-2003-0352

由于提报的件数日渐增加，“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。

W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫：

* 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制，锁定 Windows XP 机器为攻击目标。

* 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制，锁定运行 Microsoft IIS 5.0 的机器为攻击目标。

W32.Welchia.Worm 运行时会运行下列动作：

* 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件，加以安装之后再重新启动计算机。

* 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染，导致 ICMP 流量增加。

* 此蠕虫也会试图移除 W32.Blaster.Worm。

赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 8 月 18 日

* 病毒定义（智能更新程序） 2003 年 8 月 18 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Moderate

* 清除： Moderate

损坏

* 损坏级别： Medium

* 删除文件： Deletes msblast.exe.

* 导致系统不稳定： Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.

* 危及安全设置： Installs a TFTP server on all the infected machines.

分发

* 分发级别： Medium

* 端口： TCP 135(RPC DCOM), TCP 80(WebDav)

当 W32.Welchia.Worm 运行时，它会运行下列动作：

1. 将自身复制到：%System%\\Wins\\Dllhost.exe

注意：%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\\Winnt\\System32 (Windows 2000) 或 C:\\Windows\\System32 (Windows XP)。

2. 复制 %System%\\Dllcache\\Tftpd.exe 文件成为 %System%\\Wins\\svchost.exe 文件。

注意：Svchost.exe 是一种合法程序并非恶意程序，因此，赛门铁克防毒产品无法侦测到它。

3. 将子键

RpcPatch

和

RpcTftpd

加入注册键：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

4. 建立下列服务：

服务名称：RpcTftpd

服务显示名称：网络联机共享

服务二进制文件：%System%\\wins\\svchost.exe

此服务将设定为手动启动。

服务名称：RpcPatch

服务显示名称：WINS Client

服务二进制文件：%System%\\wins\\dllhost.exe

此服务将设定为自动启动。

5. 结束 Msblast 的程序，然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\\msblast.exe 文件。

6. 此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加，或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后，它会在类别 C 网络的地址范围内往上累加。例如，若从 A.B.0.0 开始，它将往上累加到至少 A.B.255.255。

7. 此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。

8. 一旦蠕虫辨识出此地址属于网络上启用中的机器，它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞，或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。

9. 在受入侵的主机上建立一个远程 shell，然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。

10. 在发动攻击的机器上启动 TFTP 服务器，然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\\dllcache\\tftpd.exe 文件存在，则蠕虫可能不会下载 svchost.exe。

11. 检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“，然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。

12. 一旦更新文件下载完成并加以运行后，此蠕虫将重新启动计算机以完成安装更新文件。

13. 检查计算机的系统日期。如果年份为 2004 年，此蠕虫将停用并自我移除。

Intruder Alert

2003 年 8 月 19 日，赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。

Norton Internet Security / Norton Internet Security Professional

2003 年 8 月 20 日，Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Client Security

2003 年 8 月 20 日，Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Gateway Security

* 2003 年 8 月 18 日，Symantec 发布了 Symantec Gateway Security 1.0 的更新。

* Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护，默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全，第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信，从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。

Symantec Host IDS

2003 年 8 月 19 日，Symantec 发布了 Symantec Host IDS 4.1 的更新。

Symantec ManHunt

* Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动，但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。

* Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

使用 W32.Welchia.Worm 杀毒工具杀毒

赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。

手动杀毒

作为使用该杀毒工具的替代方法，您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写，包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。

1. 禁用系统还原（Windows Me/XP）。

2. 更新病毒定义文件。

3. 重新启动计算机或者结束蠕虫程序。

4. 运行完整的系统扫描，删除所有侦测到的 W32.Welchia.Worm 文件。

5. 删除 Svchost.exe。

如需关于这些步骤的详细信息，请阅读下列指示。

1. 禁用系统还原 (Windows XP)

如果您使用的是 Windows XP，我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能，来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机，“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此，防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除，“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。

同时，病毒可能会侦测到“系统还原“数据夹里的威胁，即使您已移除该威胁亦然。

有关如何禁用系统还原功能的指导，请参阅 如何禁用或启用 Windows Me 系统还原。

有关详细信息以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。

2. 更新病毒定义文件

赛门铁克 在将病毒定义发布到服务器之前，会对所有病毒定义进行彻底测试，以确保其质量。可使用以下两种方法获取最新的病毒定义：

* 运行 LiveUpdate（这是获取病毒定义的最简便方法）：这些病毒定义被每周一次（通常在星期三）发布到 LiveUpdate 服务器上，除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义，请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义：智能更新程序病毒定义会在工作日（美国时间，星期一至星期五）发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义，请参考病毒定义（智能更新程序）。

现在提供智能更新程序病毒定义：有关详细说明，请参阅如何使用智能更新程序更新病毒定义文件。

3. 以安全模式重新启动计算机或终止特洛伊木马进程

Windows 95/98/Me

以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。

Windows NT/2000/XP

要终止特洛伊木马进程，请执行下列操作：

1. 按一次 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 双击“映像名称”列标题，按字母顺序对进程排序。

5. 滚动列表并查找 Dllhost.exe。

6. 如果找到该文件，则单击此文件，然后单击“结束进程”。

7. 退出“任务管理器”。

4. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了W32.Welchia.Worm，请单击“删除”。

5. 删除对注册表所做的更改

警告：赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 输入 regedit 然后单击“确定”。（将打开注册表编辑器。）

3. 导航至以下键：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

4. 删除子键：

RpcPatch

和

RpcTftpd

5. 退出注册表编辑器。

6. 删除 Svchost.exe 文件

浏览至 %System%\\Wins 数据夹，然后删除 Svchost.exe 文件。

描述者： Frederic Perriot