发现: 2003 年 8 月 18 日
更新: 2007 年 2 月 13 日 12:09:43 PM
别名: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos],Win32.Nachi.A[CA], Worm.Win32.Welchia [Kaspersky]
类型: Worm
感染长度: 10,240 bytes
受感染的系统: Microsoft IIS, Windows 2000, Windows XP
CVE 参考: CAN-2003-0109 CAN-2003-0352
由于提报的件数日渐增加,“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:
* 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
* 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
* 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
* 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
* 此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。
防护
* 病毒定义(每周 LiveUpdate™) 2003 年 8 月 18 日
* 病毒定义(智能更新程序) 2003 年 8 月 18 日
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: High
* 威胁抑制: Moderate
* 清除: Moderate
损坏
* 损坏级别: Medium
* 删除文件: Deletes msblast.exe.
* 导致系统不稳定: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
* 危及安全设置: Installs a TFTP server on all the infected machines.
分发
* 分发级别: Medium
* 端口: TCP 135(RPC DCOM), TCP 80(WebDav)
当 W32.Welchia.Worm 运行时,它会运行下列动作:
1. 将自身复制到:%System%WinsDllhost.exe
注意:%System% 代表变量。蠕虫会找到 System 数据夹并将自己复制过去。默认的位置是 C:WinntSystem32 (Windows 2000) 或 C:WindowsSystem32 (Windows XP)。
2. 复制 %System%DllcacheTftpd.exe 文件成为 %System%Winssvchost.exe文件。
注意:Svchost.exe 是一种合法程序并非恶意程序,因此,赛门铁克防毒产品无法侦测到它。
3. 将子键
RpcPatch
和
RpcTftpd
加入注册键:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
4. 建立下列服务:
服务名称:RpcTftpd
服务显示名称:网络联机共享
服务二进制文件:%System%winssvchost.exe
此服务将设定为手动启动。
服务名称:RpcPatch
服务显示名称:WINS Client
服务二进制文件:%System%winsdllhost.exe
此服务将设定为自动启动。
5. 结束 Msblast 的程序,然后删除由 W32.Blaster.Worm 蠕虫所留下的 %System%msblast.exe 文件。
6. 此蠕虫会使用两种不同的方式来选取受害者的 IP 地址。它会从受感染机器的IP (A.B.C.D) 中使用 A.B.0.0 并往上累加,或者根据某些内建的地址来随机建立 IP 地址。当选定开始地址后,它会在类别 C 网络的地址范围内往上累加。例如,若从 A.B.0.0 开始,它将往上累加到至少 A.B.255.255。
7. 此蠕虫将传送 ICMP 响应或 PING 来检查所建立的 IP 地址是否为网络上启用中的机器。
8. 一旦蠕虫辨识出此地址属于网络上启用中的机器,它将传送数据至 TCP 端口号 135 以探测 DCOM RPC 漏洞,或者传送数据至 TCP 端口号 80 以探测 WebDav 漏洞。
9. 在受入侵的主机上建立一个远程 shell,然后透过 666 至 765 之间的随机 TCP 埠号连接回发动攻击的计算机以接收指示。
10. 在发动攻击的机器上启动 TFTP 服务器,然后指示受害的机器连接至攻击的机器并下载 Dllhost.exe 及 Svchost.exe。如果 %System%dllcacheftpd.exe 文件存在,则蠕虫可能不会下载 svchost.exe。
11. 检查计算机的操作系统版本、Service Pack 号码以及“系统地区设定“,然后试图连接至 Microsoft 的 Windows Update 网站并下载适当的 DCOM RPC 漏洞更新文件。
12. 一旦更新文件下载完成并加以运行后,此蠕虫将重新启动计算机以完成安装更新文件。
13. 检查计算机的系统日期。如果年份为 2004 年,此蠕虫将停用并自我移除。
Intruder Alert
2003 年 8 月 19 日,赛门铁克发布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通过 LiveUpdate 发布了 IDS 特征以检测 W32.Welchia.Worm 活动。
Symantec Gateway Security
* 2003 年 8 月 18 日,Symantec 发布了 Symantec Gateway Security 1.0 的更新。
* Symantec 完整的应用程序检查防火墙技术可以对此 Microsoft 漏洞提供保护,默认情况下禁止上面列出的所有 TCP 端口。为了最大程度地保证安全,第三代完整的应用程序检查技术会智能地禁止通过 HTTP 信道进行的 DCOM 通信,从而提供大多数普通网络过滤防火墙尚不具备的额外保护层。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 发布了 Symantec Host IDS 4.1 的更新。
Symantec ManHunt
* Symantec ManHunt 协议异常检测技术将与利用此漏洞相关联的活动检测为“端口扫描”。尽管 ManHunt 可以使用协议异常检测技术检测与利用此漏洞相关联的活动,但您也可以使用在 Security Update 4 中发布的“Microsoft DCOM RPC Buffer Overflow”自定义特征来精确地识别所发送的漏洞利用数据。
* Security Update 7 发布了特别针对 W32.Welchia.Worm 的签名以侦测 W32.Welchia.Worm 的更多特征。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
使用 W32.Welchia.Worm 杀毒工具杀毒
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。这是消除此威胁的最简便方法。单击这里获取该工具。
手动杀毒
作为使用该杀毒工具的替代方法,您可以手动消除此威胁。
下列指示是针对目前市面上所见的最新赛门铁克防毒产品所撰写,包括 Symantec AntiVirus 与 Norton AntiVirus 的产品线。
1. 禁用系统还原(Windows Me/XP)。
2. 更新病毒定义文件。
3. 重新启动计算机或者结束蠕虫程序。
4. 运行完整的系统扫描,删除所有侦测到的 W32.Welchia.Worm 文件。
5. 删除 Svchost.exe。
如需关于这些步骤的详细信息,请阅读下列指示。
1. 禁用系统还原 (Windows XP)
如果您使用的是 Windows XP,我们建议您暂时禁用“系统还原“。Windows XP 使用这个默认启用的功能,来还原您计算机上受损的文件。如果病毒、蠕虫或特洛伊木马感染的计算机,“系统还原“可能会一并将计算机上的病毒、蠕虫或特洛伊木马备份起来。
Windows 会防止包括防毒程序的外来程序修改“系统还原“。因此,防毒程序或是工具并无法移除“系统还原“数据夹内的病毒威胁。因此即使您已经将所有其它位置上的受感染文件清除,“系统还原“还是很有可能会将受感染的文件一并还原至计算机中。
同时,病毒可能会侦测到“系统还原“数据夹里的威胁,即使您已移除该威胁亦然。
有关如何禁用系统还原功能的指导,请参阅 如何禁用或启用 Windows Me 系统还原。
有关详细信息以及禁用 Windows Me 系统还原的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件,文章 ID:CH263455。
2. 更新病毒定义文件
赛门铁克 在将病毒定义发布到服务器之前,会对所有病毒定义进行彻底测试,以确保其质量。可使用以下两种方法获取最新的病毒定义:
* 运行 LiveUpdate(这是获取病毒定义的最简便方法):这些病毒定义被每周一次(通常在星期三)发布到 LiveUpdate 服务器上,除非出现大规模的病毒爆发情况。要确定是否可通过 LiveUpdate 获取此威胁的定义,请参考病毒定义 (LiveUpdate)。
* 使用智能更新程序下载病毒定义:智能更新程序病毒定义会在工作日(美国时间,星期一至星期五)发布。应该从赛门铁克安全响应中心网站下载病毒定义并手动进行安装。要确定是否可通过智能更新程序获取此威胁的定义,请参考病毒定义(智能更新程序)。
现在提供智能更新程序病毒定义:有关详细说明,请参阅如何使用智能更新程序更新病毒定义文件。
3. 以安全模式重新启动计算机或终止特洛伊木马进程
Windows 95/98/Me
以安全模式重新启动计算机。除 Windows NT 外,所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导,请参阅文档:如何以安全模式启动计算机。
Windows NT/2000/XP
要终止特洛伊木马进程,请执行下列操作:
1. 按一次 Ctrl+Alt+Delete。
2. 单击“任务管理器”。
3. 单击“进程”选项卡。
4. 双击“映像名称”列标题,按字母顺序对进程排序。
5. 滚动列表并查找 Dllhost.exe。
6. 如果找到该文件,则单击此文件,然后单击“结束进程”。
7. 退出“任务管理器”。
4. 扫描和删除受感染文件
1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。
* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
* 赛门铁克企业版防病毒产品:请阅读 如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。
2. 运行完整的系统扫描。
3. 如果有任何文件被检测为感染了W32.Welchia.Worm,请单击“删除”。
5. 删除对注册表所做的更改
警告:赛门铁克强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
1. 单击“开始”,然后单击“运行”。(将出现“运行”对话框。)
2. 输入 regedit 然后单击“确定”。(将打开注册表编辑器。)
3. 导航至以下键:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
4. 删除子键:
RpcPatch
和
RpcTftpd
5. 退出注册表编辑器。
6. 删除 Svchost.exe 文件
浏览至 %System%Wins 数据夹,然后删除 Svchost.exe 文件。
描述者: Frederic Perriot