W32.Welchia.Worm

發現：2003 年 8 月 18 日

更新：2007 年 2 月 13 日 12:09:43 PM

別名：W32/Welchia.worm10240 [AhnLab],W32/Nachi.worm [McAfee],WORM_MSBLAST.D [Trend],Lovsan.D [F-Secure],W32/Nachi-A [Sophos],Win32.Nachi.A [CA],Worm.Win32.Welchia [Kaspersky]

類型： Worm

感染長度：10,240 bytes

受感染的系統：Microsoft ⅡS,Windows 2000,Windows XP

CVE 參考：CAN-2003-0109 CAN-2003-0352

由於提報的件數日漸增加，“賽門鐵克安全機制應變中心“自 2003 年 8 月 18 日星期一下午 6 時起已將 W32.Welchia.Worm 的威脅等級提高為第 4 級。

W32.Welchia.Worm 是一隻會探測多種漏洞的蠕蟲：

* 使用 TCP 埠號 135 來探測 DCOM RPC 漏洞 （如 Microsoft Security Bulletin MS03-026 所述）。此蠕蟲會利用這種探測機制，鎖定 Windows XP 機器為攻擊目標。

* 使用 TCP 埠號 80 來探測 WebDav 漏洞 （如 Microsoft Security Bulletin MS03-007 所述）。此蠕蟲會利用這種探測機制，鎖定運行 Microsoft ⅡS 5.0 的機器為攻擊目標。

W32.Welchia.Worm 運行時會運行下列動作：

* 此蠕蟲會試圖從Microsoft 的 Windows Update 網站下載 DCOM RPC 的更新文件，加以安裝之後再重新啓動計算機。

* 此蠕蟲會藉由傳送 ICMP 響應或 PING 來檢查啓動中的機器以進行感染，導致 ICMP 流量增加。

* 此蠕蟲也會試圖移除 W32.Blaster.Worm。

賽門鐵克安全響應中心已經創建了用來殺除 W32.Welchia.Worm 的工具。單擊這裏獲取該工具。

防護

* 病毒定義（每週 LiveUpdate™） 2003 年 8 月 18 日

* 病毒定義（智能更新程序） 2003 年 8 月 18 日

威脅評估

廣度

* 廣度級別：Low

* 感染數量：More than 1000

* 站點數量：More than 10

* 地理位置分佈：High

* 威脅抑制：Moderate

* 清除：Moderate

損壞

* 損壞級別：Medium

* 刪除文件：Deletes msblast.exe.

* 導致系統不穩定：Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.

* 危及安全設置：Installs a TFTP server on all the infected machines.

分發

* 分發級別：Medium

* 端口：TCP 135(RPC DCOM),TCP 80(WebDav)

當 W32.Welchia.Worm 運行時，它會運行下列動作：

⒈ 將自身複製到：%System%\Wins\Dllhost.exe

注意：%System% 代表變量。蠕蟲會找到 System 數據夾並將自己複製過去。默認的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 （Windows XP）。

⒉ 複製 %System%\Dllcache\Tftpd.exe 文件成為 %System%\Wins\svchost.exe 文件。

注意：Svchost.exe 是一種合法程序並非惡意程序，因此，賽門鐵克防毒產品無法偵測到它。

⒊ 將子鍵

RpcPatch

和

RpcTftpd

加入註冊鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

⒋ 建立下列服務：

服務名稱：RpcTftpd

服務顯示名稱：網絡聯機共享

服務二進制文件：%System%\wins\svchost.exe

此服務將設定為手動啓動。

服務名稱：RpcPatch

服務顯示名稱：WINS Client

服務二進制文件：%System%\wins\dllhost.exe

此服務將設定為自動啓動。

⒌ 結束 Msblast 的程序，然後刪除由 W32.Blaster.Worm蠕蟲所留下的 %System%\msblast.exe 文件。

⒍ 此蠕蟲會使用兩種不同的方式來選取受害者的 IP 地址。它會從受感染機器的IP (A.B.C.D) 中使用 A.B.0.0 並往上累加，或者根據某些內建的地址來隨機建立 IP 地址。當選定開始地址後，它會在類別 C 網絡的地址範圍內往上累加。例如，若從 A.B.0.0 開始，它將往上累加到至少 A.B.255.255。

⒎ 此蠕蟲將傳送 ICMP 響應或 PING 來檢查所建立的 IP 地址是否為網絡上啓用中的機器。

⒏ 一旦蠕蟲辨識出此地址屬於網絡上啓用中的機器，它將傳送數據至 TCP 端口號 135 以探測 DCOM RPC 漏洞，或者傳送數據至 TCP 端口號 80 以探測 WebDav 漏洞。

⒐ 在受入侵的主機上建立一個遠程 shell，然後透過 666 至 765 之間的隨機 TCP 埠號連接回發動攻擊的計算機以接收指示。

⒑ 在發動攻擊的機器上啓動 TFTP 服務器，然後指示受害的機器連接至攻擊的機器並下載 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 文件存在，則蠕蟲可能不會下載 svchost.exe。

⒒ 檢查計算機的操作系統版本、Service Pack 號碼以及“系統地區設定“，然後試圖連接至 Microsoft 的 Windows Update 網站並下載適當的 DCOM RPC 漏洞更新文件。

⒓ 一旦更新文件下載完成並加以運行後，此蠕蟲將重新啓動計算機以完成安裝更新文件。

⒔ 檢查計算機的系統日期。如果年份為 2004 年，此蠕蟲將停用並自我移除。

Intruder Alert

2003 年 8 月 19 日，賽門鐵克發佈了 Intruder Alert 3.6 W32_Welchia_Worm Policy。

Norton Internet Security / Norton Internet Security Professional

2003 年 8 月 20 日，Symantec 通過 LiveUpdate 發佈了 IDS 特徵以檢測 W32.Welchia.Worm 活動。

Symantec Client Security

2003 年 8 月 20 日，Symantec 通過 LiveUpdate 發佈了 IDS 特徵以檢測 W32.Welchia.Worm 活動。

Symantec Gateway Security

* 2003 年 8 月 18 日，Symantec 發佈了 Symantec Gateway Security 1.0 的更新。

* Symantec 完整的應用程序檢查防火牆技術可以對此 Microsoft 漏洞提供保護，默認情況下禁止上面列出的所有 TCP 端口。為了最大程度地保證安全，第三代完整的應用程序檢查技術會智能地禁止通過 HTTP 信道進行的 DCOM 通信，從而提供大多數普通網絡過濾防火牆尚不具備的額外保護層。

Symantec Host IDS

2003 年 8 月 19 日，Symantec 發佈了 Symantec Host IDS 4.1 的更新。

Symantec ManHunt

* Symantec ManHunt 協議異常檢測技術將與利用此漏洞相關聯的活動檢測為“端口掃描”。儘管 ManHunt 可以使用協議異常檢測技術檢測與利用此漏洞相關聯的活動，但您也可以使用在 Security Update 4 中發佈的“Microsoft DCOM RPC Buffer Overflow”自定義特徵來精確地識別所發送的漏洞利用數據。

* Security Update 7 發佈了特別針對 W32.Welchia.Worm 的簽名以偵測 W32.Welchia.Worm 的更多特徵。

建議

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。默認情況下，許多操作系統會安裝不必要的輔助服務，如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程序更新即可完成。

* 如果混合型威脅攻擊了一個或多個網絡服務，則在應用補丁程序之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程序，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）.. 另外，對於本文中、可靠的安全公告或供應商網站上公佈的安全更新，也要及時應用。

* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件，這些文件常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附件。並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序，那麼訪問受感染的網站也會造成病毒感染。

使用 W32.Welchia.Worm 殺毒工具殺毒

賽門鐵克安全響應中心已經創建了用來殺除 W32.Welchia.Worm 的工具。這是消除此威脅的最簡便方法。單擊這裏獲取該工具。

手動殺毒

作為使用該殺毒工具的替代方法，您可以手動消除此威脅。

下列指示是針對市面上所見的最新賽門鐵克防毒產品所撰寫，包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。

⒈ 禁用系統還原（Windows Me/XP）。

⒉ 更新病毒定義文件。

⒊ 重新啓動計算機或者結束蠕蟲程序。

⒋ 運行完整的系統掃描，刪除所有偵測到的 W32.Welchia.Worm 文件。

⒌ 刪除 Svchost.exe。

如需關於這些步驟的詳細信息，請閲讀下列指示。

⒈ 禁用系統還原 (Windows XP)

如果您使用的是 Windows XP，我們建議您暫時禁用“系統還原“。Windows XP 使用這個默認啓用的功能，來還原您計算機上受損的文件。如果病毒、蠕蟲或特洛伊木馬感染的計算機，“系統還原“可能會一併將計算機上的病毒、蠕蟲或特洛伊木馬備份起來。

Windows 會防止包括防毒程序的外來程序修改“系統還原“。因此，防毒程序或是工具並無法移除“系統還原“數據夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染文件清除，“系統還原“還是很有可能會將受感染的文件一併還原至計算機中。

同時，病毒可能會偵測到“系統還原“數據夾裏的威脅，即使您已移除該威脅亦然。

有關如何禁用系統還原功能的指導，請參閲 如何禁用或啓用 Windows Me 系統還原。

有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閲 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 文件夾中受感染的文件，文章 ID：CH263455。

⒉ 更新病毒定義文件

賽門鐵克 在將病毒定義發佈到服務器之前，會對所有病毒定義進行徹底測試，以確保其質量。可使用以下兩種方法獲取最新的病毒定義：

* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每週一次（通常在星期三）發佈到 LiveUpdate 服務器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 （LiveUpdate）。

* 使用智能更新程序下載病毒定義：智能更新程序病毒定義會在工作日（美國時間，星期一至星期五）發佈。應該從賽門鐵克安全響應中心網站下載病毒定義並手動進行安裝。要確定是否可通過智能更新程序獲取此威脅的定義，請參考病毒定義（智能更新程序）。

現在提供智能更新程序病毒定義：有關詳細説明，請參閲如何使用智能更新程序更新病毒定義文件。

⒊ 以安全模式重新啓動計算機或終止特洛伊木馬進程

Windows 95/98/Me

以安全模式重新啓動計算機。除 Windows NT 外，所有的 Windows 32 位操作系統均可以安全模式重新啓動。有關如何完成此操作的指導，請參閲文檔：如何以安全模式啓動計算機。

Windows NT/2000/XP

要終止特洛伊木馬進程，請執行下列操作：

⒈ 按一次 Ctrl+Alt+Delete。

⒉ 單擊“任務管理器”。

⒊ 單擊“進程”選項卡。

⒋ 雙擊“映像名稱”列標題，按字母順序對進程排序。

⒌ 滾動列表並查找 Dllhost.exe。

⒍ 如果找到該文件，則單擊此文件，然後單擊“結束進程”。

⒎ 退出“任務管理器”。

⒋ 掃描和刪除受感染文件

⒈ 啓動 Symantec 防病毒程序，並確保已將其配置為掃描所有文件。

* Norton AntiVirus 單機版產品：請閲讀文檔：如何配置 Norton AntiVirus 以掃描所有文件。

* 賽門鐵克企業版防病毒產品：請閲讀 如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件。

⒉ 運行完整的系統掃描。

⒊ 如果有任何文件被檢測為感染了W32.Welchia.Worm，請單擊“刪除”。

⒌ 刪除對註冊表所做的更改

警告：賽門鐵克強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或文件損壞。應只修改指定的鍵。有關指導，請參閲文檔：如何備份 Windows 註冊表。

⒈ 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）

⒉ 輸入 regedit 然後單擊“確定”。（將打開註冊表編輯器。）

⒊ 導航至以下鍵：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

⒋ 刪除子鍵：

RpcPatch

和

RpcTftpd

⒌ 退出註冊表編輯器。

⒍ 刪除 Svchost.exe 文件

瀏覽至 %System%\Wins 數據夾，然後刪除 Svchost.exe 文件。

描述者：Frederic Perriot