请输入您要查询的百科知识:

 

词条 Worm.Welchia.h
释义

Worm.Welchia.h,是一种蠕虫病毒。该蠕虫通过TCP端口135利用DCOM RPC漏洞(如Microsoft安全公告MS02-026中所述),利用此漏洞专门攻击Windows XP计算机。另外,还可通过其它方式影响Windows 2000系统计算机。

病毒信息

病毒别名:

处理时间:2004-04-16

威胁级别:★

中文名称:

病毒类型:蠕虫

影响系统:Windows 2000, Windows XP

编写工具

VC

传染条件

通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。

通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。

通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机

发作条件

系统修改:

1,创建一个名为“WksPatch_Mutex”的互斥体。此互斥仅允许一个蠕虫实例在内存中执行。

2,将自身复制为 %System%driverssvchost.exe

3,创建下列服务:

服务名称:WksPatch

服务二进制文件:%System%driverssvchost.exe

服务显示名:结构形式为 %string1% %string2% %string3%,其中:

%string1% 为下列项目之一:

System

Security

Remote

Routing

Performance

Network

License

Internet

%string2% 为下列项目之一:

Logging

Manager

Procedure

Accounts

Event

%string3% 为下列项目之一:

Provider

Sharing

Messaging

Client

例如,服务显示名可能为“Security Logging Sharing”。

如果存在名为“RpcPatch”的服务,请将其删除。

4,通过查找以下注册表键,检查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

ExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerComDlg32Version

将尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。该蠕虫通过执行下列操作实现这一点:

删除下列文件:

%System%ctfmon.dll

%System%Explorer.exe

%System%shimgapi.dll

%System%TaskMon.exe

从注册表键删除值“Taskmon”:

HEKY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

5,还原下列值:

"@"="%SystemRoot%System32webcheck.dll"

该值位于以下注册表键:

HKEY_LOCAL_MACHINECLSID

InProcServer32

6,用下列文本覆盖 HOSTS 文件:

#

#

127.0.0.1 localhost

生成随机 IP 地址,然后向这些 IP 地址发送利用的数据,以尝试感染系统:

向 TCP 端口 135 发送数据以利用 DCOM RPC 漏洞。

向 TCP 端口 80 发送数据以利用 WebDav 漏洞。

向 TCP 端口 445 发送数据以利用 Workstation 服务漏洞。

向 TCP 端口 445 发送数据以利用 Locator 服务漏洞。

在随机 TCP 端口上运行 HTTP 服务器,以便存在漏洞的计算机可以重新连接到受感染计算机,然后进行本地下载并将蠕虫作为 WksPatch.exe 执行。

如果受感染计算机的操作系统版本为日文版,请在 IIS Virtual Roots 和 %Windir%Help\\IISHelpcommon 文件夹中搜索具有下列扩展名的文件:

.shtml

.shtm

.stm

.cgi

.php

.html

.htm

.asp

7,如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,从 Microsoft Windows Update 网站下载下列补丁之一:

下载地址见扩展阅读

7,安装补丁,然后重新启动计算机。

该蠕虫将在 2004 年 6 月 1 日或运行 120 天之后(二者中较早的日期)自行终止

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 19:27:03