Symantec Deutschland
 Symantec weltweit
Produkte
Bezugsquellen
Service und Unterstützung
Händlerzentrum
Security Response
Downloads
Über Symantec
Suche
Kontakt


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Datenschutz
Sicherheitswarnungen

W32.Welchia.Worm

Kategorie 2
Entdeckt am: 18.08.2003
Zuletzt aktualisiert am: 26.10.2004


Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response am 8. Oktober 2003 diese Bedrohung von Kategorie 4 auf Kategorie 3 herabgestuft.

W32.Welchia.Worm ist ein Wurm, der mehrere Schwachstellen ausnutzt.

  • Er nutzt die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135 aus. Dabei greift er speziell Computer mit dem Betriebssystem Windows XP über diese Schwachstelle an.
  • Er nutzt die WebDav-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-007) über den TCP-Port 80 aus. Dabei greift er speziell Computer, auf denen Microsoft IIS 5.0 läuft, über diese Schwachstelle an. Im Code dieses Wurms ist festgelegt, dass diese Bedrohung Windows 2000-Systeme und eventuell auch Windows NT/XP-Systeme angreift.

W32.Welchia.Worm bewirkt folgendes:
  • Er versucht, den DCOM RPC-Patch von der Windows Update-Website von Microsoft herunterzuladen, zu installieren, und anschließend den Computer neu zu starten.
  • Er sucht nach aktiven Computern, um diese durch Senden einer ICMP-Echo-Anfrage (oder PING) zu infizieren, was zu einer Steigerung des ICMP-Verkehrs führt.
  • Er versucht, die Infektion W32.Blaster.Worm zu entfernen.

Symantec hat ein Entfernungsprogramm für W32.Welchia.Worm-Infektionen entwickelt.

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Welchia.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting network traffic that may be due to RPC worms. 		 

Auch bekannt als: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Typ: Wurm
Infektionslänge: 10.240 Byte
Betroffene Systeme: Microsoft IIS, Windows 2000, Windows XP
Nicht betroffene Systeme: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT
CVE-Referenzen: CAN-2003-0109, CAN-2003-0352

Schutz
  • Virusdefinitionen (LiveUpdate™ Weekly)

    • 18.08.2003
  • Virusdefinitionen (Intelligent Updater)

    • 18.08.2003

    Feststellung einer Bedrohung

    Im Umlauf

    Bedrohungsdaten
    Niedrig Mittel Mittel

    Im Umlauf:
    Niedrig

    Schaden:
    Mittel

    Verteilung:
    Mittel

    Schaden

    Verteilung

    Technische Details

    Bei Ausführung geht W32.Welchia.Worm folgendermaßen vor:

    1. Er kopiert sich selbst in folgenden Bereich:

      %System%\Wins\Dllhost.exe

      Hinweis: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Winnt\System32 (Windows 2000) oder C:\Windows\System32 (Windows XP).

    2. Er erstellt eine Kopie von %System%\Dllcache\Tftpd.exe, die %System%\Wins\svchost.exe genannt wird.

      Hinweis: Tftpd.exe ist ein legitimes Programm, das nicht bösartig ist. Daher wird es von Symantec Antivirus-Produkten nicht entdeckt.

    3. Es fügt die Unterschlüssel

      RpcPatch

      und

      RpcTftpd

      dem folgenden Registrierungsschlüssel hinzu:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    4. Er erstellt die folgenden Dienste:

      Dienstname: RpcTftpd
      Dienstanzeigename: Network Connections Sharing (Gemeinsame Nutzung der Netzwerkverbindungen)
      Binärdatei des Dienstes: %System%\wins\svchost.exe

      Dieser Dienst wird so eingestellt, dass er manuell gestartet wird.

      Dienstname: RpcPatch
      Dienstanzeigename: WINS Client
      Binärdatei des Dienstes: %System%\wins\dllhost.exe

      Dieser Dienst wird so eingestellt, dass er automatisch gestartet wird.

    5. Er beendet den Prozess Msblast und löscht die Datei %System%\msblast.exe, die vom Wurm W32.Blaster.Worm abgelegt wird

    6. Der Wurm ermittelt die IP-Adresse des zu infizierenden Computers auf zwei verschiedene Arten. Er verwendet entweder A.B.0.0 von der IP-Adresse A.B.C.D des infizierten Computers und zählt aufwärts, oder er erstellt eine willkürliche IP-Adresse auf der Basis von einigen in den Code des Wurms integrierten Adressen.

      Nach Auswahl der Startadresse zählt er aufwärts über eine Reihe von Netzwerken der Klasse B. Wenn er zum Beispiel mit der Adresse A.B.0.0 beginnt, zählt er von dort aus weiter bis zur Adresse A.B.255.255.

    7. Der Wurm sendet eine ICMP-Echo-Anfrage (oder PING), um zu überprüfen, ob die erstellte IP-Adresse zu einem aktiven Computer im Netzwerk gehört.

    8. Sobald der Wurm einen Computer als aktiv im Netzwerk erkannt hat, sendet er entweder Daten an den TCP-Port 135, der die DCOM RPC-Schwachstelle ausnutzt, oder er sendet Daten an den TCP-Port 80, um die WebDav-Schwachstelle auszunutzen.

    9. Er erstellt eine entfernte Befehls-Shell auf dem anfälligen Host, die eine Verbindung zurück zum angreifenden Computer über einen beliebigen TCP-Port zwischen 666 und 765 herstellt, um Befehle empfangen zu können.

      Hinweis: In den meisten Fällen handelt es sich bei diesem Port aufgrund der Art, auf die sich das Thread-Modell des Wurms auf die Implementierung der C-Laufzeit-DLL von Windows auswirkt, um Port 707.

    10. Er startet den TFTP-Server auf dem angreifenden Computer und befiehlt dem anfälligen Computer, eine Verbindung zum angreifenden Computer herzustellen und die Programmdateien Dllhost.exe und Svchost.exe dort herunterzuladen. Wenn die Datei %System%\dllcache\tftpd.exe vorhanden ist, kann der Wurm die Datei svchost.exe nicht herunterladen.

    11. Er sucht die Version des Betriebssystems auf Ihrem Computer, die Service Pack-Nummer und das lokale System und versucht, eine Verbindung zum Windows Update-Server von Microsoft herzustellen und den entsprechenden Patch für die DCOM RPC-Schwachstelle herunterzuladen.

    12. Sobald die Aktualisierung heruntergeladen und ausgeführt ist, startet der Wurm den Computer neu, so dass der Patch installiert wird.

    13. Er prüft das Systemdatum des Computers. Wenn das Jahr 2004 eingestellt ist, wird der Wurm deaktiviert und entfernt sich selbst wie folgt:
      • Er löscht die Datei %System%\Wins\Dllhost.exe.
      • Er löscht die Dienste RpcPatch und RpcTftpd und entfernt die entsprechenden Registrierungsschlüssel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

      Der Wurm löscht die Datei %System%\Wins\Svchost.exe nicht; dabei handelt es sich um einen harmlosen Tftp-Server.
      Hinweise:
      • Der Wurm aktiviert seine Entfernungsroutine nur, wenn der Wurm im Jahr 2004 gestartet wird. Wenn der Wurm ununterbrochen seit dem Jahr 2003 läuft, wird er sich nur dann nach dem 1. Januar 2004 selbst entfernen, wenn Sie den Computer oder den Wurm von Hand neu starten.
      • Das Entfernungsprogramm für W32.Welchia.Worm arbeitet auch im Jahr 2004 einwandfrei.

    Intruder Alert
    Symantec hat am 19. August 2003 eine Intruder Alert 3.6 W32_Welchia_Worm Policy herausgebracht.

    Norton Internet Security und Norton Internet Security Professional
    Symantec hat am 20. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Welchia.Worm erkannt wird.

    Symantec Client Security
    Symantec hat am 20. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Welchia.Worm erkannt wird.

    Symantec ManHunt
    • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "Portsweep." Obwohl ManHunt die mit dieser Schwachstelle verbundene Aktivität mit der Protocol Anomaly Detection-Technologie erkennt, können Sie die benutzerdefinierte Signatur "Microsoft DCOM RPC Buffer Overflow" verwenden, die als Security Update 4 herausgebracht wurde, um eine Ausnutzung der Sicherheitslücke genau zu identifizieren.
    • Security Update 7 wurde herausgebracht, um spezifische Signaturen für W32.Welchia.Worm zu bieten, damit weitere Attribute von W32.Welchia.Worm erkannt werden können.


    Symantec Gateway Security
    • Symantec hat am 18. August 2003 eine Aktualisierung für Symantec Gateway Security 1.0 veröffentlicht.
    • Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor dieser Microsoft-Sicherheitslücke und blockiert standardmäßig alle oben aufgeführten TCP-Ports. Für maximale Sicherheit blockiert die dritte Generation der vollständigen Anwendungsinspektionstechnologie intelligent das Verwenden von Tunneln für DCOM-Verkehr über HTTP-Kanäle und bietet so eine zusätzliche Schutzebene, die in den meisten Netzwerkfilter-Firewalls noch nicht vorhanden ist.

    Symantec Host IDS
    Symantec hat am 19. August 2003 eine Aktualisierung für Symantec Host IDS 4.1 veröffentlicht.

    Empfehlungen

    Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

    • Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
    • Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
    • Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
    • Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
    • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
    • Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
    • Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
    Entfernungsanweisungen

    Entfernung mit dem W32.Welchia.Worm-Entfernungsprogramm
    Symantec Security Response hat ein Programm zur Entfernung von W32.Welchia.Worm-Infektionen entwickelt. Dies ist die einfachste Methode zur Beseitigung dieser Bedrohung. Sie sollte als erstes versucht werden. Um das Entfernungsprogramm für
    W32.Welchia.Worm zu erhalten, lesen Sie das Dokument W32.Welchia.Worm-Entfernungsprogramm.

    Manuelle Entfernung
    Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Symantec Antivirus-Produkte, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
    1. Deaktivieren Sie die Systemwiederherstellung (Windows XP).
    2. Aktualisieren Sie Ihre Virusdefinitionen.
    3. Starten Sie den Computer neu oder beenden Sie den Wurmprozess.
    4. Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Welchia.Worm infiziert erkannt werden.
    5. Entfernen Sie die Werte aus der Registrierung.
    6. Löschen Sie die Datei Svchost.exe.
      Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.

      1. Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP)
      Wenn Sie mit Windows Me/XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me/XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese in der Systemwiederherstellung möglicherweise mitgesichert.

      Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Antivirusprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Antivirusprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.

      Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.

      Anweisungen zum Deaktivieren der Systemwiederherstellung finden Sie in folgenden Dokumenten:
      Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im englischsprachigen Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).

      2. Aktualisieren Sie die Virusdefinitionen
      Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:

      • Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
      • Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).

        Die Intelligent Updater-Virusdefinitionen sind verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie Sie die Virensignaturen mit dem Intelligent Updater aktualisieren.

      3. Starten Sie den Computer im abgesicherten Modus neu oder beenden Sie die mit dem Wurm verbundenen Dienste
        Windows 95/98/Me
        Starten Sie den Computer im abgesicherten Modus neu. Alle 32-Bit-Windows-Betriebssysteme mit Ausnahme von Windows NT können im abgesicherten Modus neu gestartet werden. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.

        Windows NT/2000/XP
        So beenden Sie die mit dem Wurm verbundenen Dienste:
        1. Öffnen Sie in der Systemsteuerung das Applet "Verwaltung" und klicken Sie auf "Dienste".
        2. Suchen Sie in der Liste im rechten Teilfenster nach den folgenden Namen:
          • Network Connections Sharing (Gemeinsame Nutzung der Netzwerkverbindungen)
          • WINS Client
        3. Wenn Sie die Dienste gefunden haben, klicken Sie mit der rechten Maustaste darauf und klicken Sie dann auf "Beenden".
        4. Schließen Sie das Fenster "Dienste".
        4. Prüfen Sie den Computer und löschen Sie infizierte Dateien
        1. Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
        2. Führen Sie eine vollständige Systemprüfung durch.
        3. Wenn Dateien als mit W32.Welchia.Worm infiziert gemeldet werden, klicken Sie auf "Löschen".

        5. Entfernen Sie den Wert aus der Registrierung

        ACHTUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu einem permanenten Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.

        1. Klicken Sie auf "Start" und anschließend auf "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
        2. Geben Sie regedit ein.

          Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.

        3. Suchen Sie den Schlüssel

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        4. Löschen Sie die Unterschlüssel

          RpcPatch

          und

          RpcTftpd
        5. Schließen Sie den Registrierungseditor.
          6. Löschen Sie die Datei Svchost.exe
          Navigieren Sie zum Ordner %System%\Wins und löschen Sie die Datei Svchost.exe.

          Bisherige Aktualisierungen:

          • 26. Februar 2004: Aufgrund abnehmender Zahl von Meldungen von Kategorie 3 auf Kategorie 2 herabgestuft.
          • 16. Dezember 2003: Einzelheiten zu Schritt 13 im Abschnitt "Technische Details" ergänzt.
          • 29. November 2003: Windows NT aus der Liste betroffener Systeme entfernt.
          • October 8, 2003: Aufgrund abnehmender Zahl von Meldungen von Kategorie 4 auf Kategorie 3 herabgestuft.
          • 3.September 2003: Informationen bezüglich der Schwachstelle MS03-007 hinzugefügt.
          • 28. August 2003: Link zu Dokument mit Informationen zu mit Welchia verbundenem Netzwerkverkehr hinzugefügt.
          • 26. August 2003: Informationen zur manuellen Entfernung aktualisiert.
          • 20. August 2003:
            • Informationen über verfügbare SCS IDS-Signaturen hinzugefügt.
            • Informationen über verfügbare NIS/NIS Pro IDS-Signaturen hinzugefügt.
            • Alias-Informationen aktualisiert.
          • 19. August 2003: Informationen über Symantec ManHunt- und Symantec Intruder Alert-Aktualisierungen hinzugefügt.



          Englische Version dieses Dokuments

          Klicken Sie hier, um die englische Version dieses Dokuments anzuzeigen.

          Hinweis: Bitte beachten Sie, dass aufgrund des Zeitbedarfs für die Übersetzung ins Deutsche das englische Originaldokument in der Zwischenzeit möglicherweise aktualisiert wurde, wodurch die deutsche Version inhaltlich abweichen kann.


          Zuletzt aktualisiert von: Frederic Perriot & Douglas Knowles