W32.Welchia.B.Worm | 
|
| 發現時間: 2004.02.11 | | 上次更新時間: 2004.06.18 |
由於提報的件數日漸增加,「賽門鐵克安全機制應變中心」自 2003 年 2 月 13 日起已將此威脅等級由第 3 級提高為第 2 級。
W32.Welchia.B.Worm 是 W32.Welchia.Worm 病蟲的變種。 受感染的機器如果安裝的作業系統版本為中文、韓文或英文,病蟲便會嘗試由 Microsoft® Windows Update 網站下載 Microsoft Workstation Service Buffer Overrun 與 Microsoft Messenger Service Buffer Overrun 修補程式,然後加以安裝並重新啟動電腦。
該病蟲同時會試著移除 W32.Mydoom.A@mm 與 W32.Mydoom.B@mm 病蟲。
W32.Welchia.B.Worm 會探測多個弱點,包括:
如果系統存在 %Windir%\system32\drivers\svchost.exe 這個檔案,表示可能已經受到感染。
此威脅係以 UPX 進行壓縮。
注意: 2004 年 2 月 11 日版本 23以後的病毒定義檔 (20040211.023 或定義檔版本 60211w) 或更新的版本都可以偵測到此威脅。
賽門鐵克安全機制應變中心已開發出可清除 W32.Welchia.B.Worm 感染的移除工具。
|
也稱做: | W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersky] |
|
| |
|
類型: | Worm |
|
感染長度: | 12,800 bytes |
|
| |
|
| |
|
| |
|
受影響的系統: | Windows 2000, Windows XP |
|
未受影響的系統: | DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me |
|
CVE 參照: | CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003 |
|
| |
|
| |
損害
- 酬載觸發: n/a
- 酬載: n/a
- 大規模的郵件寄送: n/a
- 刪除檔案: Deletes the files associated with W32.Mydoom.A@mm and W32.Mydoom.B@mm.
- 修改檔案: n/a
- 造成系統不穩: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
- 發佈機密資訊: n/a
- 破壞安全設定: n/a
散佈
W32.Welchia.B.Worm 病蟲執行時,會進行下列動作:
- 建立一個名為「WksPatch_Mutex」的 Mutex。且只允許一個病蟲實例於記憶體中執行。
- 將自身複製為 %System%\drivers\svchost.exe。
注意:
- %System% 代表變數。病蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
- Windows XP 系統上也有一個合法的系統檔 %System%\svchost.exe,且該檔大小恰與病蟲的檔案大小相同。
- 建立下列服務:
服務名稱: WksPatch
服務二進位碼: %System%\drivers\svchost.exe
服務顯示名稱: 結構型式如 %string1% %string2% %string3%,其中:
- %string1% 會是下列其中一種:
- System
- Security
- Remote
- Routing
- Performance
- Network
- License
- Internet
- %string2% 會是下列其中一種:
- Logging
- Manager
- Procedure
- Accounts
- Event
- 而 %string3% 會是下列其中一種:
- Provider
- Sharing
- Messaging
- Client
例如,服務顯示名稱可能是 "Security Logging Sharing"。
- 如果名稱為 "RpcPatch" 的服務存在的話,請加以刪除。
注意: 此服務是由 W32.Welchia.Worm 所建立。
- 查看下列登錄鍵以檢查 W32.Mydoom.A@mm 與 W32.Mydoom.B@mm 病蟲是否存在:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
- 如果步驟 5 的任一登錄鍵存在的話,請試著移除 W32.Mydoom.A@mm 與 W32.Mydoom.B@mm 病蟲。 病蟲會執行此動作,方法是進行下列事項:
- 刪除下列檔案:
- %System%\ctfmon.dll
- %System%\Explorer.exe
- %System%\shimgapi.dll
- %System%\TaskMon.exe
- 從登錄鍵中刪除值 "Taskmon":
- HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
- 還原值:
"@"="%SystemRoot%\System32\webcheck.dll"
至登錄鍵:
HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
\InProcServer32
- 以下列文字覆寫 HOSTS 檔案:
#
#
127.0.0.1 localhost
- 產生隨機 IP 位址並傳送探測資料至 IP 位址以嘗試感染系統:
- 傳送資料至 TCP 通訊埠 135 以探測 DCOM RPC 弱點。
- 傳送資料至 TCP 通訊埠 80 以探測 WebDav 弱點。
- 傳送資料至 TCP 通訊埠 445 以探測工作站服務 (Workstation Service) 弱點。
- 傳送資料至 TCP 通訊埠 445 以探測 Locator 服務弱點。
- 在一個隨機的 TCP 埠上執行 HTTP 伺服器,讓這些易受感染的電腦能夠重新連線至已受感染的電腦,然後在本機下載並執行名為 WksPatch.exe 的病蟲。
- 如果受感染電腦的作業系統是日文版,則請在 IIS Virtual Root (虛擬根) 與 %Windir%\Help\\IISHelp\common 資料夾中搜尋具有下列副檔名的檔案:
- .shtml
- .shtm
- .stm
- .cgi
- .php
- .html
- .htm
- .asp
注意: Virtual Root 與 IIS「說明」資料夾都是以 Microsoft 的 Internet Information Services 伺服器元件方式安裝的。
- 將找到的檔案覆寫為下列的 .htm 檔案:
- 如果受感染電腦的作業系統是中文版、韓文版或英文版,則請從 Microsoft 的 Windows Update 網站上下載下列的修補程式:
- download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
- download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
- download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
- download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
- download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
- download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
- 安裝好修補程式,然後重新啟動電腦。
- 病蟲將於 2004 年 6 月 1 日或於執行完畢 120 天後 (以先到日期為準) 自我終止。
「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理:
- 關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目,例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後,混合型威脅就比較不容易找到下手的目標,同時您在進行系統的修補更新時也不需要維護很多的服務。
- 如果混合型威脅偵測到一個以上的網路服務,在執行修補程式之前請先關閉或封鎖存取這些服務。
- 永遠保持您的修補程式在最新的狀態,特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機,例如 HTTP、FTP、郵件以及 DNS 服務。
- 強制施行密碼原則。在遭到破壞的電腦上,複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來,當電腦遭受破壞時,可以有效降低資料的損害程度。
- 請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。
- 接著將這些受感染的電腦快速隔離到網路外,以避免危害整個公司的運作。這時候請仔細檢查這些受感染的電腦,並使用可信賴的媒體來還原至可用狀態。
- 訓練員工不要開啟含有上述副檔名的郵件,除非已事先知情這些郵件內容。同時,不要執行從 Internet 上下載的軟體,除非他們已經掃毒過。當您造訪一個受感染的網站時,如果您的瀏覽器未安裝好弱點修補程式的話,您的電腦很容易就會受到感染。
使用 W32.Welchia.Worm 移除工具來移除病蟲
賽門鐵克安全機制應變中心已開發出移除工具用來清除 W32.Welchia.B.Worm 病蟲,這是目前最簡便的辦法,請您優先採用。 若要取得 W32.Welchia.Worm 移除工具,請參閱「W32.Welchia.Worm 移除工具」文件。
手動移除
除了可以使用移除工具外,您還可以手動移除病蟲。下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。
- 關閉「系統還原」(Windows XP)。
- 更新病毒定義檔。
- 將電腦重新啟動在安全模式或是 VGA 模式。
- 執行完整的系統掃描,刪除所有偵測到的 W32.Welchia.B.Worm 檔案。
如需關於這些步驟的詳細資訊,請閱讀下列指示。
- 關閉「系統還原」(Windows Me/XP)
如果您使用的是 Windows Me 或 Windows XP,我們建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。
Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。同時,病毒可能會偵測到「系統還原」資料夾裡的威脅,即使您已移除該威脅亦然。
有關如何關閉「系統還原」的說明,請閱讀您的 Windows 文件,或下列文章:
- 更新病毒定義檔
所有的病毒定義檔在公佈到伺服器之前都經過賽門鐵克安全機制應變中心的嚴格檢測。您可以使用下列兩種方式來取得最新的病毒定義檔:
- 重新啟動電腦至安全模式或 VGA 模式
將電腦関機。等待至少 30 秒鐘,然後重新啓動電腦至安全模式或模式。
- Windows 95/98/Me/2000/XP 用戶,將電腦重新啟動在安全模式。Windows NT 以外的所有 Windows 32 位元作業系統都可以重新啟動在安全模式。如需執行此程序的指示,請參閱「如何將電腦重新啟動在安全模式」文件。
- Windows NT 4 用戶,重啓電腦至 VGA 模式。
- 掃描並刪除受感染的檔案
- 啟動您的賽門鐵克防毒程式,確定已架構為掃描所有檔案。
- 執行完整系統掃描。
- 如果偵測到任何受 W32.Welchia.B.Worm 感染的檔案,請按下「刪除」。
修訂歷史:
- 2004 年 2 月 13 日: 威脅等級由第 3 級提升至第 2 級。
- 2004 年 2 月 12 日:提供連結至移除工具。
報導撰寫人: Yana Liu
|
