请输入您要查询的百科知识:

 

词条 W32.Welchia.Worm
释义

发现: 2003 年 8 月 18 日

更新: 2007 年 2 月 13 日 12:09:43 PM

别名: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]

类型: Worm

感染长度: 10,240 bytes

受感染的系统: Microsoft IIS, Windows 2000, Windows XP

CVE 参考: CAN-2003-0109 CAN-2003-0352

由于提报的件数日渐增加,“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。

W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:

* 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。

* 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。

W32.Welchia.Worm 运行时会运行下列动作:

* 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。

* 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。

* 此蠕虫也会试图移除 W32.Blaster.Worm。

赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。

防护

* 病毒定义(每周 LiveUpdate™) 2003 年 8 月 18 日

* 病毒定义(智能更新程序) 2003 年 8 月 18 日

威胁评估

广度

* 广度级别: Low

* 感染数量: More than 1000

* 站点数量: More than 10

* 地理位置分布: High

* 威胁抑制: Moderate

* 清除: Moderate

损坏

* 损坏级别: Medium

* 删除文件: Deletes msblast.exe.

* 导致系统不稳定: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.

* 危及安全设置: Installs a TFTP server on all the infected machines.

分发

* 分发级别: Medium

* 端口: TCP 135(RPC DCOM), TCP 80(WebDav)

当 W32.Welchia.Worm 运行时,它会运行下列动作:

1. 将自身复制到:%System%\\Wins\\Dllhost.exe

注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:\\Winnt\\System32 (Windows 2000) 或 C:\\Windows\\System32 (Windows XP)。

2. 复制 %System%\\Dllcache\\Tftpd.exe 文件成为 %System%\\Wins\\svchost.exe 文件。

注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。

3. 将子键

RpcPatch

RpcTftpd

加入注册键:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

4. 建立下列服务:

服务名称:RpcTftpd

服务显示名称:网络联机共享

服务二进制文件:%System%\\wins\\svchost.exe

此服务将设定为手动启动。

服务名称:RpcPatch

服务显示名称:WINS Client

服务二进制文件:%System%\\wins\\dllhost.exe

此服务将设定为自动启动。

5. 结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%\\msblast.exe 文件。

6. 此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。

7. 此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。

8. 一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。

9. 在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。

10. 在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%\\dllcache\\tftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。

11. 检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。

12. 一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。

13. 检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。

Intruder Alert

2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。

Norton Internet Security / Norton Internet Security Professional

2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Client Security

2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。

Symantec Gateway Security

* 2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。

* Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。

Symantec Host IDS

2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。

Symantec ManHunt

* Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。

* Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:

* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。

* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。

使用 W32.Welchia.Worm 杀毒工具杀毒

赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。

手动杀毒

作为使用该杀毒工具的替代方法,您可以手动消除此威胁。

下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。

1. 禁用系统还原(Windows Me/XP)。

2. 更新病毒定义文件。

3. 重新启动计算机或者结束蠕虫程序。

4. 运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。

5. 删除 Svchost.exe。

如需关于这些步骤的详细信息,请阅读下列指示。

1. 禁用系统还原 (Windows XP)

如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。

Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。

同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。

有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。

有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。

2. 更新病毒定义文件

赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:

* 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。

* 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。

现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。

3. 以安全模式重新启动计算机或终止特洛伊木马进程

Windows 95/98/Me

以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。

Windows NT/2000/XP

要终止特洛伊木马进程,请执行下列操作:

1. 按一次 Ctrl+Alt+Delete。

2. 单击“任务管理器”。

3. 单击“进程”选项卡。

4. 双击“映像名称”列标题,按字母顺序对进程排序。

5. 滚动列表并查找 Dllhost.exe。

6. 如果找到该文件,则单击此文件,然后单击“结束进程”。

7. 退出“任务管理器”。

4. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。

5. 删除对注册表所做的更改

警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。

1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)

2. 输入 regedit 然后单击“确定”。(将打开注册表编辑器。)

3. 导航至以下键:

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

4. 删除子键:

RpcPatch

RpcTftpd

5. 退出注册表编辑器。

6. 删除 Svchost.exe 文件

浏览至 %System%\\Wins 数据夹,然后删除 Svchost.exe 文件。

描述者: Frederic Perriot

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/15 21:15:08