Taiwan
 全球網路
產品訊息
產品購買
售後服務
安全檢測
最新病毒定義檔
關於賽門鐵克
搜尋
回應與建議

©1995-2008
賽門鐵克公司
所有內容版權屬於公司所有

 法律注意事項
隱私保護政策
安全更新檔

W32.Welchia.Worm

類別 2
發現時間: 2003.08.18
上次更新時間: 2004.06.18

由於提報的件數日漸增加,「賽門鐵克安全機制應變中心」自 2003 年 8 月 18 日星期一下午 6 時起已將 W32.Welchia.Worm 的威脅等級提高為第 4 級。

W32.Welchia.Worm 是一隻會探測多種弱點的病蟲:

  • 使用 TCP 埠號 135 來探測 DCOM RPC 弱點 (如 Microsoft Security Bulletin MS03-026 所述)。此病蟲會利用這種探測機制,鎖定 Windows XP 機器為攻擊目標。
  • 使用 TCP 埠號 80 來探測 WebDav 弱點 (如 Microsoft Security Bulletin MS03-007 所述)。此病蟲會利用這種探測機制,鎖定執行 Microsoft IIS 5.0 的機器為攻擊目標。
W32.Welchia.Worm 執行下列動作:
  • 此病蟲會試圖從Microsoft 的 Windows Update 網站下載 DCOM RPC 的更新檔,加以安裝之後再重新啟動電腦。
  • 此病蟲會藉由傳送 ICMP 回應或 PING 來檢查啟動中的機器以進行感染,導致 ICMP 流量增加。
  • 此病蟲也會試圖移除 W32.Blaster.Worm。
賽門鐵克安全機制應變中心已開發出可清除 W32.Welchia.Worm 感染的移除工具

也稱做: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
類型: Worm
感染長度: 10,240 bytes
受影響的系統: Microsoft IIS, Windows 2000, Windows XP
未受影響的系統: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT
CVE 參照: CAN-2003-0109, CAN-2003-0352

保護
  • 病毒定義檔 (每周的LiveUpdate™)

    • 2003.08.18
  • 病毒定義檔 (Intelligent Updater)

    • 2003.08.18

    威脅評估

    兇猛

    威脅方式
    低 中 中

    兇猛 :

    損害:

    散佈:

    損害

    散佈

    • 通訊埠: TCP 135(RPC DCOM), TCP 80(WebDav)

    技術細節

    當 W32.Welchia.Worm 執行時,它會執行下列動作:

    1. 將自身複製到:
      %System%\Wins\Dllhost.exe
      注意:%System% 代表變數。病蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。
    2. 複製 %System%\Dllcache\Tftpd.exe 檔成為 %System%\Wins\svchost.exe 檔。
      注意:Svchost.exe 是一種合法程式並非惡意程式,因此,賽門鐵克防毒產品無法偵測到它。
    3. 新增下列子鍵:
      RpcPatch


      RpcTftpd

      至登錄鍵:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    4. 建立下列服務:
      服務名稱:RpcTftpd
      服務顯示名稱:網路連線共享
      服務二進位檔:%System%\wins\svchost.exe

      此服務將設定為手動啟動。
      服務名稱:RpcPatch
      服務顯示名稱:WINS Client
      服務二進位檔:%System%\wins\dllhost.exe

      此服務將設定為自動啟動。
    5. 結束 Msblast 的程序,然後刪除由 W32.Blaster.Worm 病蟲所留下的 %System%\msblast.exe 檔。
    6. 此病蟲會使用兩種不同的方式來選取受害者的 IP 位址。它會從受感染機器的IP (A.B.C.D) 中使用 A.B.0.0 並往上累加,或者根據某些內建的位址來隨機建立 IP 位址。當選定開始位址後,它會在類別 C 網路的位址範圍內往上累加。例如,若從 A.B.0.0 開始,它將往上累加到至少 A.B.255.255。
    7. 此病蟲將傳送 ICMP 回應或 PING 來檢查所建立的 IP 位址是否為網路上啟用中的機器。
    8. 一旦病蟲辨識出此位址屬於網路上啟用中的機器,它將傳送資料至 TCP 埠號 135 以探測 DCOM RPC 弱點,或者傳送資料至 TCP 埠號 80 以探測 WebDav 弱點。
    9. 在受入侵的主機上建立一個遠端 shell,然後透過 666 765 之間的隨機 TCP 埠號連接回發動攻擊的電腦以接收指示。
    10. 在發動攻擊的機器上啟動 TFTP 伺服器,然後指示受害的機器連接至攻擊的機器並下載 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 檔存在,則病蟲可能不會下載 svchost.exe。
    11. 檢查電腦的作業系統版本、Service Pack 號碼以及「系統地區設定」,然後試圖連接至 Microsoft 的 Windows Update 網站並下載適當的 DCOM RPC 弱點更新檔。
    12. 一旦更新檔下載完成並加以執行後,此病蟲將重新啟動電腦以完成安裝更新檔。
    13. 檢查電腦的系統日期。如果年份為 2004 年,此病蟲將停用並自我移除。

    Intruder Alert
    賽門鐵克在 2003 年 8 月 19 日發行 Intruder Alert 3.6 W32_Welchia_Worm Policy

    Norton Internet Security / Norton Internet Security Professional
    賽門鐵克於 2003 8 20 日透過 LiveUpdate 發行 IDS 簽章以偵測 W32.Welchia.Worm 活動。

    Symantec Client Security
    賽門鐵克於 2003 8 20 日透過 LiveUpdate 發行 IDS 簽章以偵測 W32.Welchia.Worm 活動。

    Symantec Gateway Security
    • 賽門鐵克在 2003 8 18 日發行 Symantec Gateway Security 1.0 的更新檔。
    • 賽門鐵克的完整應用程式監視防火牆技術能防護 Microsoft 弱點避免入侵,並根據預設值攔截上述所有 TCP 通訊埠。為求最高度的安全性,第三代完整應用程式監視技術能智慧地攔截透過 HTTP 頻道傳輸的 DCOM 流量;因此,它提供了一般常用網路過濾防火牆所不具備的額外防護層。
    Symantec Host IDS
    賽門鐵克在 2003 8 19 日發行 Symantec Host IDS 4.1 的更新檔。

    Symantec ManHunt
    • 賽門鐵克 ManHunt 通訊協定異常偵測技術能夠偵測出與此「通訊埠掃描」相關的探測活動。雖然 ManHunt 可以利用此通訊協定異常偵測技術來察覺與此探測相關的活動,但是您可以使用 Security Update 4 所發佈的「Microsoft DCOM RPC 緩衝區溢位」自訂攻擊特徵,正確辨識出所傳送的探測類型。
    • Security Update 7 發佈特別針對 W32.Welchia.Worm 的簽章來偵測 W32.Welchia.Worm 的更多特徵。

    建議

    「賽門鐵克安全機制應變中心」建議所有的使用者與管理員遵照下列基本的安全手則「最佳範例」執行管理:

    • 關閉並移除不必要的服務。很多作業系統會預設安裝非必要的附屬服務項目,例如 FTP 用戶端、telnet 以及 Web 伺服器。這些服務等於提供了病毒攻擊的目標。當這些服務移除之後,混合型威脅就比較不容易找到下手的目標,同時您在進行系統的修補更新時也不需要維護很多的服務。
    • 如果混合型威脅偵測到一個以上的網路服務,在執行修補程式之前請先關閉或封鎖存取這些服務。
    • 永遠保持您的修補程式在最新的狀態,特別是針對那些代管公共服務以及可以透過防火牆存取的服務主機,例如 HTTP、FTP、郵件以及 DNS 服務。
    • 強制施行密碼原則。在遭到破壞的電腦上,複雜的密碼機制將使駭客更難解開受密碼保護的檔案。這樣一來,當電腦遭受破壞時,可以有效降低資料的損害程度。
    • 請將您的郵件伺服器設定為封鎖或移除所有內含.vbs、.bat、.exe、.pif 與 .scr 等副檔名之附件的郵件。
    • 接著將這些受感染的電腦快速隔離到網路外,以避免危害整個公司的運作。這時候請仔細檢查這些受感染的電腦,並使用可信賴的媒體來還原至可用狀態。
    • 訓練員工不要開啟含有上述副檔名的郵件,除非已事先知情這些郵件內容。同時,不要執行從 Internet 上下載的軟體,除非他們已經掃毒過。當您造訪一個受感染的網站時,如果您的瀏覽器未安裝好弱點修補程式的話,您的電腦很容易就會受到感染。

    移除指示

    移除時請使用 W32.Welchia.Worm 移除工具
    賽門鐵克安全機制應變中心已經開發了一套工具,可用來移除 W32.Welchia.Worm。這是移除此威脅最簡易的方法。按下此處可取得該工具。

    手動移除
    除了可以使用移除工具外,您還可以手動移除病蟲。下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。
    1. 關閉「系統還原」(Windows XP)。
    2. 更新病毒定義檔。
    3. 重新啟動電腦或者結束病蟲程序。
    4. 執行完整的系統掃描,刪除所有偵測到的 W32.Welchia.Worm 檔案。
    5. 刪除 Svchost.exe 檔。

    如需關於這些步驟的詳細資訊,請閱讀下列指示。

    1. 關閉系統還原 (Windows XP)
    如果您使用的是 Windows XP,我們建議您暫時關閉「系統還原」。Windows XP 使用這個預設啟用的功能,來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦,「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。

    Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此,防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。同時,病毒可能會偵測到「系統還原」資料夾裡的威脅,即使您已移除該威脅亦然。

    有關如何關閉「系統還原」的說明,     請參閱 如何關閉或啟用 Windows XP「系統還原」

    如需其它資訊以及關閉 Windows Me「系統還原」的其它方法,請參閱 Microsoft 知識庫的文章「     防毒工具無法清除 _Restore 資料夾中受感染的檔案 」,文章識別碼 (Article ID):Q263455。


    2. 更新病毒定義檔
    賽門鐵克安全機制應變中心在將所有病毒定義檔公佈於伺服器之前已完成品質測試。您可以使用下列兩種方式來取得最新的病毒定義檔:
    • 執行 LiveUpdate 是獲得病毒定義檔的最簡單方法。這些病毒定義檔會每星期一次更新到 LiveUpdate 伺服器上 (通常是星期三),當有疫情發生時則例外。若想知道 LiveUpdate 是否已有此威脅的定義檔,請查看本報導上方的「病毒定義檔 (LiveUpdate)」。
    • 使用 Intelligent Updater 下載定義檔。Intelligent Updater 的病毒定義檔會在美國的工作日 (星期一到星期五) 公佈。使用者必須由「賽門鐵克安全機制應變中心」網站手動下載及安裝。若想知道 Intelligent Updater 是否已有此威脅的定義檔,請查看本報導上方的「病毒定義檔 (Intelligent Updater)」。

      您可在      此處取得 Intelligent Updater 病毒定義檔。如需關於如何從「賽門鐵克安全機制應變中心」網站下載及安裝 Intelligent Updater 病毒定義檔的詳細資訊,請閱讀「如何使用 Intelligent Updater 來更新病毒定義檔」。

    3. 重新啟動電腦至安全模式或結束特洛伊木馬程序
      Windows 95/98/Me
      將電腦重新啟動至安全模式。Windows NT 以外的所有 Windows 32 位元作業系統都可以重新啟動在安全模式。如需執行此程序的指示,請參閱「如何將電腦重新啟動在安全模式」文件。

      Windows NT/2000/XP
      結束特洛伊木馬程序:
      1. 按一次 Ctrl+Alt+Delete。
      2. 按下「工作管理員」。
      3. 按下「處理程序」標籤。
      4. 連按兩下「影像名稱」欄位標頭以便以英文字母順序進行排序。
      5. 瀏覽一下清單並尋找 Dllhost.exe。
      6. 如果您找到該檔案,按下它並按下「結束處理程序」。
      7. 結束「工作管理員」。

    4. 掃描並刪除受感染的檔案
    1. 啟動您的賽門鐵克防毒程式,確定已架構為掃描所有檔案。
    2. 執行完整系統掃描。
    3. 如果偵測到任何受 W32.Welchia.Worm 感染的檔案,請按下「刪除」。

    5. 恢復對登錄所做的變更
      注意:對系統登錄進行任何修改之前,賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。只修改指定的登錄鍵。如需詳細指示,請閱讀「如何備份 Windows 登錄」文件。
    1. 按下「開始」,然後按下「執行」。(畫面上便會出現「執行」對話方塊。)
    2. 鍵入 regedit 然後按下「確定」。(「登錄編輯器」會開啟。)
    3. 跳到這個鍵:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    4. 刪除子鍵 RpcPatch 與 RpcTftpd。
    5. 結束並離開「登錄編輯器」。

    6. 刪除 Svchost.exe 檔
    瀏覽至 %System%\Wins 資料夾,然後刪除 Svchost。

    修訂歷史:

    • 2003 8 20 日:
      • 新增關於 SCS IDS 簽章的資訊。
      • 新增關於 NIS/NIS Pro IDS 簽章的資訊。
      • 更新別名資訊。
    • 2003 8 19 日:新增關於 Symantec ManHunt 及 Symantec Intruder Alert 更新檔的資訊。


    報導撰寫人: Frederic Perriot & Douglas Knowles