W32.Welchia.B.Worm

概述

W32.Welchia.B.Worm

感染情況

由於提交次數的增加，Symantec 安全回響中心自 2003 年 2 月 13 日起，將此威脅的級別從 2 類提升為 3 類。
W32.Welchia.B.Worm 是 W32.Welchia.Worm 的變種。如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統，則該蠕蟲將嘗試從 Microsoft® Windows Update 網站下載 Microsoft 工作站服務中的緩衝區溢出可能允許執行代碼 和 Microsoft Messenger 服務中的緩衝區溢出可能允許代碼執行 補丁，然後安裝補丁並重新啟動計算機。
該蠕蟲還嘗試刪除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲。
W32.Welchia.B.Worm 利用多個漏洞，包括：
* 通過 TCP 連線埠 135 利用 DCOM RPC 漏洞（如Microsoft 安全公告 MS02-026 中所述）。該蠕蟲利用此漏洞專門攻擊 Windows XP 計算機。
* 通過 TCP 連線埠 80 利用 WebDav 漏洞（如 Microsoft 安全公告 MS03-007 中所述）。該蠕蟲利用此漏洞專門攻擊運行 Microsoft IIS 5.0 的計算機。該蠕蟲利用這些漏洞，將會影響 Windows 2000 系統，並可能影響 Windows NT/XP 系統。
* 通過 TCP 連線埠 445 利用 Workstation 服務緩衝區溢出漏洞（如 Microsoft 安全公告 MS03-049 中所述）。
* 通過 TCP 連線埠 445 利用 Locator 服務漏洞（如 Microsoft 安全公告 MS03-001 中所述）。該蠕蟲利用此漏洞專門攻擊 Windows 2000 計算機。
出現 %Windir%\system32\drivers\svchost.exe 檔案表示可能已感染。
此威脅用 UPX 壓縮。
注意：日期為 2004 年 2 月 11 日的病毒定義修訂版 23（20040211.023 或定義版本 60211w）或更高版本可以檢測到此威脅。
Symantec™ 安全回響中心已經開發了一種防毒工具，可用來清除 W32.Welchia.B.Worm 感染。
防護
* 病毒定義（每周 LiveUpdate™） 2004 年 2 月 11 日
* 病毒定義（智慧型更新程式） 2004 年 2 月 11 日
威脅評估
廣度
* 廣度級別： Medium
* 感染數量： More than 1000
* 站點數量： More than 10
* 地理位置分布： High
* 威脅抑制： Easy
* 清除： Moderate
損壞
* 損壞級別： Low
* 刪除檔案： Deletes the files associated with W32.Mydoom.A@mm and W32.Mydoom.B@mm.
* 導致系統不穩定： Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
分發
* 分發級別： Medium
* 連線埠： TCP 80, 135, 445
W32.Welchia.B.Worm 運行時會執行下列操作：
1. 創建一個名為“WksPatch_Mutex”的互斥體。此互斥僅允許一個蠕蟲實例在記憶體中執行。
2. 將自身複製為 %System%\drivers\svchost.exe
注意：
* %System% 是一個變數。蠕蟲會找到 System 資料夾，並將自身複製到其中。默認情況下，此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
* 其中有一個合法的系統檔案 %System%\svchost.exe，它與 Windows XP 系統中的蠕蟲檔案大小相同。
3. 創建下列服務：
服務名稱：WksPatch
服務二進制檔案：%System%\drivers\svchost.exe
服務顯示名：結構形式為 %string1% %string2% %string3%，其中：
1. %string1% 為下列項目之一：
* System
* Security
* Remote
* Routing
* Performance
* Network
* License
* Internet
2. %string2% 為下列項目之一：
* Logging
* Manager
* Procedure
* Accounts
* Event
3. %string3% 為下列項目之一：
* Provider
* Sharing
* Messaging
* Client
例如，服務顯示名可能為“Security Logging Sharing”。
4. 如果存在名為“RpcPatch”的服務，請將其刪除。
注意：此服務是由 W32.Welchia.Worm 創建的。
5. 通過查找以下註冊表鍵，檢查是否存在 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲：
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
6. 將嘗試刪除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕蟲。該蠕蟲通過執行下列操作實現這一點：
1. 刪除下列檔案：
* %System%\ctfmon.dll
* %System%\Explorer.exe
* %System%\shimgapi.dll
* %System%\taskmon.exe
2. 從註冊表鍵刪除值“Taskmon”：
* HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
* HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
3. 還原下列值：
"@"="%SystemRoot%\System32\webcheck.dll"
該值位於以下註冊表鍵：
HKEY_LOCAL_MACHINE\CLSID\
\InProcServer32
4. 用下列文本覆蓋 HOSTS 檔案：
#
#
127.0.0.1 localhost
7. 生成隨機 IP 地址，然後向這些 IP 地址傳送利用的數據，以嘗試感染系統：
* 向 TCP 連線埠 135 傳送數據以利用 DCOM RPC 漏洞。
* 向 TCP 連線埠 80 傳送數據以利用 WebDav 漏洞。
* 向 TCP 連線埠 445 傳送數據以利用 Workstation 服務漏洞。
* 向 TCP 連線埠 445 傳送數據以利用 Locator 服務漏洞。
8. 在隨機 TCP 連線埠上運行 HTTP 伺服器，以便存在漏洞的計算機可以重新連線到受感染計算機，然後進行本地下載並將蠕蟲作為 WksPatch.exe 執行。
9. 如果受感染計算機的作業系統版本為日文版，請在 IIS Virtual Roots 和 %Windir%\Help\\IISHelp\common 資料夾中搜尋具有下列擴展名的檔案：
* .shtml
* .shtm
* .stm
* .cgi
* .php
* .html
* .htm
* .asp
注意：Virtual Roots 和 IIS Help 資料夾是在安裝 Microsoft Internet Information Services 伺服器時創建的。
10. 使用下列含有下列內容的 .htm 檔案覆蓋找到的檔案：
11. 如果受感染計算機上安裝的是中文、朝鮮語或英語版的作業系統，請從 Microsoft Windows Update 網站下載下列補丁之一：
* download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe
* download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe
* download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe
* download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe
* download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe
* download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe
12. 安裝補丁，然後重新啟動計算機。
13. 該蠕蟲將在 2004 年 6 月 1 日或運行 120 天之後（二者中較早的日期）自行終止。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。
使用 W32.Welchia.Worm 防毒工具防毒
Symantec 安全回響中心已經開發了一種防毒工具，可用來清除 W32.Welchia.B.Worm 感染。這是消除此類威脅的最簡便方法，應該首先嘗試使用此工具。要獲取 W32.Welchia.Worm 防毒工具，請閱讀文檔：W32.Welchia.Worm 防毒工具。
手動刪除
作為防毒工具的替代，您也可以依照下列說明手動刪除。以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 禁用系統還原 (Windows Me/XP)。
2. 更新病毒定義。
3. 將計算機重啟到安全模式或者 VGA 模式
4. 運行完整的系統掃描，並刪除所有檢測為 W32.Welchia.B.Worm 的檔案。
有關每個步驟的詳細信息，請閱讀以下指導。
1. 禁用系統還原（Windows Me/XP）
如果您運行的是 Windows Me 或 Windows XP，建議您暫時關閉“系統還原”。此功能默認情況下是啟用的，一旦計算機中的檔案被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此，防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。
此外，病毒掃描可能還會檢測到 System Restore 資料夾中的威脅，即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導，請參閱 Windows 文檔或下列文章之一：
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
注意：蠕蟲移除乾淨後，請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案，文章 ID：CH263455。
2. 更新病毒定義
賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：
* 運行 LiveUpdate（這是獲取病毒定義的最簡便方法）：這些病毒定義被每周一次（通常在星期三）發布到 LiveUpdate 伺服器上，除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義，請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義會在工作日（美國時間，星期一至星期五）發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義，請參考病毒定義（智慧型更新程式）。
現在提供智慧型更新程式病毒定義：有關詳細說明，請參閱如何使用智慧型更新程式更新病毒定義檔案。
3. 將計算機重啟到安全模式或者 VGA 模式
請關閉計算機，等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
* Windows 95/98/Me/2000/XP 用戶：將計算機重啟到安全模式。所有 Windows 32-bit 作業系統，除了Windows NT，可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機 。
* Windows NT 4 用戶：將計算機重啟到 VGA 模式。
4. 掃描和刪除受感染檔案
1. 啟動賽門鐵克防病毒程式，並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品：請閱讀 如何確定賽門鐵克企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果檢測到任何檔案被 W32.Welchia.B.Worm 感染，請單擊“刪除”。
描述者： Yana Liu