词条 | Worm.Welchia.h |
释义 | Worm.Welchia.h,是一种蠕虫病毒。该蠕虫通过TCP端口135利用DCOM RPC漏洞(如Microsoft安全公告MS02-026中所述),利用此漏洞专门攻击Windows XP计算机。另外,还可通过其它方式影响Windows 2000系统计算机。 病毒信息病毒别名: 处理时间:2004-04-16 威胁级别:★ 中文名称: 病毒类型:蠕虫 影响系统:Windows 2000, Windows XP 编写工具VC 传染条件通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。 通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。 通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机 发作条件系统修改: 1,创建一个名为“WksPatch_Mutex”的互斥体。此互斥仅允许一个蠕虫实例在内存中执行。 2,将自身复制为 %System%driverssvchost.exe 3,创建下列服务: 服务名称:WksPatch 服务二进制文件:%System%driverssvchost.exe 服务显示名:结构形式为 %string1% %string2% %string3%,其中: %string1% 为下列项目之一: System Security Remote Routing Performance Network License Internet %string2% 为下列项目之一: Logging Manager Procedure Accounts Event %string3% 为下列项目之一: Provider Sharing Messaging Client 例如,服务显示名可能为“Security Logging Sharing”。 如果存在名为“RpcPatch”的服务,请将其删除。 4,通过查找以下注册表键,检查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion ExplorerComDlg32Version 将尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。该蠕虫通过执行下列操作实现这一点: 删除下列文件: %System%ctfmon.dll %System%Explorer.exe %System%shimgapi.dll %System%TaskMon.exe 从注册表键删除值“Taskmon”: HEKY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun 5,还原下列值: "@"="%SystemRoot%System32webcheck.dll" 该值位于以下注册表键: HKEY_LOCAL_MACHINECLSID InProcServer32 6,用下列文本覆盖 HOSTS 文件: # # 127.0.0.1 localhost 生成随机 IP 地址,然后向这些 IP 地址发送利用的数据,以尝试感染系统: 向 TCP 端口 135 发送数据以利用 DCOM RPC 漏洞。 向 TCP 端口 80 发送数据以利用 WebDav 漏洞。 向 TCP 端口 445 发送数据以利用 Workstation 服务漏洞。 向 TCP 端口 445 发送数据以利用 Locator 服务漏洞。 在随机 TCP 端口上运行 HTTP 服务器,以便存在漏洞的计算机可以重新连接到受感染计算机,然后进行本地下载并将蠕虫作为 WksPatch.exe 执行。 如果受感染计算机的操作系统版本为日文版,请在 IIS Virtual Roots 和 %Windir%Help\\IISHelpcommon 文件夹中搜索具有下列扩展名的文件: .shtml .shtm .stm .cgi .php .html .htm .asp 7,如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,从 Microsoft Windows Update 网站下载下列补丁之一: 下载地址见扩展阅读 7,安装补丁,然后重新启动计算机。 该蠕虫将在 2004 年 6 月 1 日或运行 120 天之后(二者中较早的日期)自行终止 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。