概述
發現: 2003 年 8 月 18 日
更新: 2007 年 2 月 13 日 12:09:43 PM
別名: W32/Welchia.worm10240 【AhnLab】, W32/Nachi.worm 【McAfee】, WORM_MSBLAST.D 【Trend】, Lovsan.D 【F-Secure】, W32/Nachi-A 【Sophos】, Win32.Nachi.A 【CA】, Worm.Win32.Welchia 【Kaspersky】
類型: Worm
感染長度: 10,240 bytes
受感染的系統: Microsoft IIS, Windows 2000, Windows XP
CVE 參考: CAN-2003-0109 CAN-2003-0352
由於提報的件數日漸增加,“賽門鐵克安全機制應變中心“自 2003 年 8 月 18 日星期一下午 6 時起已將 W32.Welchia.Worm 的威脅等級提高為第 4 級。
W32.Welchia.Worm 是一隻會探測多種漏洞的蠕蟲:
* 使用 TCP 埠號 135 來探測 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕蟲會利用這種探測機制,鎖定 Windows XP 機器為攻擊目標。
* 使用 TCP 埠號 80 來探測 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕蟲會利用這種探測機制,鎖定運行 Microsoft IIS 5.0 的機器為攻擊目標。
W32.Welchia.Worm 運行時會運行下列動作:
* 此蠕蟲會試圖從Microsoft 的 Windows Update 網站下載 DCOM RPC 的更新檔案,加以安裝之後再重新啟動計算機。
* 此蠕蟲會藉由傳送 ICMP 回響或 PING 來檢查啟動中的機器以進行感染,導致 ICMP 流量增加。
* 此蠕蟲也會試圖移除 W32.Blaster.Worm。
賽門鐵克安全回響中心已經創建了用來殺除 W32.Welchia.Worm 的工具。單擊這裡獲取該工具。
防護
* 病毒定義(每周 LiveUpdate™) 2003 年 8 月 18 日
* 病毒定義(智慧型更新程式) 2003 年 8 月 18 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 刪除檔案: Deletes msblast.exe.
* 導致系統不穩定: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
* 危及安全設定: Installs a TFTP server on all the infected machines.
分發
* 分發級別: Medium
* 連線埠: TCP 135(RPC DCOM), TCP 80(WebDav)
當 W32.Welchia.Worm 運行時,它會運行下列動作:
1. 將自身複製到:%System%\Wins\Dllhost.exe
注意:%System% 代表變數。蠕蟲會找到 System 數據夾並將自己複製過去。默認的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。
2. 複製 %System%\Dllcache\Tftpd.exe 檔案成為 %System%\Wins\svchost.exe 檔案。
注意:Svchost.exe 是一種合法程式並非惡意程式,因此,賽門鐵克防毒產品無法偵測到它。
3. 將子鍵
RpcPatch
和
RpcTftpd
加入註冊鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
4. 建立下列服務:
服務名稱:RpcTftpd
服務顯示名稱:網路在線上共享
服務二進制檔案:%System%\wins\svchost.exe
此服務將設定為手動啟動。
服務名稱:RpcPatch
服務顯示名稱:WINS Client
服務二進制檔案:%System%\wins\dllhost.exe
此服務將設定為自動啟動。
5. 結束 Msblast 的程式,然後刪除由 W32.Blaster.Worm 蠕蟲所留下的 %System%\msblast.exe 檔案。
6. 此蠕蟲會使用兩種不同的方式來選取受害者的 IP 地址。它會從受感染機器的IP (A.B.C.D) 中使用 A.B.0.0 並往上累加,或者根據某些內建的地址來隨機建立 IP 地址。當選定開始地址後,它會在類別 C 網路的地址範圍內往上累加。例如,若從 A.B.0.0 開始,它將往上累加到至少 A.B.255.255。
7. 此蠕蟲將傳送 ICMP 回響或 PING 來檢查所建立的 IP 地址是否為網路上啟用中的機器。
8. 一旦蠕蟲辨識出此地址屬於網路上啟用中的機器,它將傳送數據至 TCP 連線埠號 135 以探測 DCOM RPC 漏洞,或者傳送數據至 TCP 連線埠號 80 以探測 WebDav 漏洞。
9. 在受入侵的主機上建立一個遠程 shell,然後透過 666 至 765 之間的隨機 TCP 埠號連線回發動攻擊的計算機以接收指示。
10. 在發動攻擊的機器上啟動 TFTP 伺服器,然後指示受害的機器連線至攻擊的機器並下載 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 檔案存在,則蠕蟲可能不會下載 svchost.exe。
11. 檢查計算機的作業系統版本、Service Pack 號碼以及“系統地區設定“,然後試圖連線至 Microsoft 的 Windows Update 網站並下載適當的 DCOM RPC 漏洞更新檔案。
12. 一旦更新檔案下載完成並加以運行後,此蠕蟲將重新啟動計算機以完成安裝更新檔案。
13. 檢查計算機的系統日期。如果年份為 2004 年,此蠕蟲將停用並自我移除。
Intruder Alert
2003 年 8 月 19 日,賽門鐵克發布了 Intruder Alert 3.6 W32_Welchia_Worm Policy。
Norton Internet Security / Norton Internet Security Professional
2003 年 8 月 20 日,Symantec 通過 LiveUpdate 發布了 IDS 特徵以檢測 W32.Welchia.Worm 活動。
Symantec Client Security
2003 年 8 月 20 日,Symantec 通過 LiveUpdate 發布了 IDS 特徵以檢測 W32.Welchia.Worm 活動。
Symantec Gateway Security
* 2003 年 8 月 18 日,Symantec 發布了 Symantec Gateway Security 1.0 的更新。
* Symantec 完整的應用程式檢查防火牆技術可以對此 Microsoft 漏洞提供保護,默認情況下禁止上面列出的所有 TCP 連線埠。為了最大程度地保證安全,第三代完整的應用程式檢查技術會智慧型地禁止通過 HTTP 信道進行的 DCOM 通信,從而提供大多數普通網路過濾防火牆尚不具備的額外保護層。
Symantec Host IDS
2003 年 8 月 19 日,Symantec 發布了 Symantec Host IDS 4.1 的更新。
Symantec Manhunt
* Symantec ManHunt 協定異常檢測技術將與利用此漏洞相關聯的活動檢測為“連線埠掃描”。儘管 ManHunt 可以使用協定異常檢測技術檢測與利用此漏洞相關聯的活動,但您也可以使用在 Security Update 4 中發布的“Microsoft DCOM RPC Buffer Overflow”自定義特徵來精確地識別所傳送的漏洞利用數據。
* Security Update 7 發布了特別針對 W32.Welchia.Worm 的簽名以偵測 W32.Welchia.Worm 的更多特徵。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
使用 W32.Welchia.Worm 防毒工具防毒
賽門鐵克安全回響中心已經創建了用來殺除 W32.Welchia.Worm 的工具。這是消除此威脅的最簡便方法。單擊這裡獲取該工具。
手動防毒
作為使用該防毒工具的替代方法,您可以手動消除此威脅。
下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫,包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。
1. 禁用系統還原(Windows Me/XP)。
2. 更新病毒定義檔案。
3. 重新啟動計算機或者結束蠕蟲程式。
4. 運行完整的系統掃描,刪除所有偵測到的 W32.Welchia.Worm 檔案。
5. 刪除 Svchost.exe。
如需關於這些步驟的詳細信息,請閱讀下列指示。
1. 禁用系統還原 (Windows XP)
如果您使用的是 Windows XP,我們建議您暫時禁用“系統還原“。Windows XP 使用這個默認啟用的功能,來還原您計算機上受損的檔案。如果病毒、蠕蟲或特洛伊木馬感染的計算機,“系統還原“可能會一併將計算機上的病毒、蠕蟲或特洛伊木馬備份起來。
Windows 會防止包括防毒程式的外來程式修改“系統還原“。因此,防毒程式或是工具並無法移除“系統還原“數據夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除,“系統還原“還是很有可能會將受感染的檔案一併還原至計算機中。
同時,病毒可能會偵測到“系統還原“數據夾里的威脅,即使您已移除該威脅亦然。
有關如何禁用系統還原功能的指導,請參閱 如何禁用或啟用 Windows Me 系統還原。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
2. 更新病毒定義檔案
賽門鐵克 在將病毒定義發布到伺服器之前,會對所有病毒定義進行徹底測試,以確保其質量。可使用以下兩種方法獲取最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從賽門鐵克安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
3. 以安全模式重新啟動計算機或終止特洛伊木馬進程
Windows 95/98/Me
以安全模式重新啟動計算機。除 Windows NT 外,所有的 Windows 32 位作業系統均可以安全模式重新啟動。有關如何完成此操作的指導,請參閱文檔:如何以安全模式啟動計算機。
Windows NT/2000/XP
要終止特洛伊木馬進程,請執行下列操作:
1. 按一次 Ctrl+Alt+Delete。
2. 單擊“任務管理器”。
3. 單擊“進程”選項卡。
4. 雙擊“映像名稱”列標題,按字母順序對進程排序。
5. 滾動列表並查找 Dllhost.exe。
6. 如果找到該檔案,則單擊此檔案,然後單擊“結束進程”。
7. 退出“任務管理器”。
4. 掃描和刪除受感染檔案
1. 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
* 賽門鐵克企業版防病毒產品:請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
2. 運行完整的系統掃描。
3. 如果有任何檔案被檢測為感染了W32.Welchia.Worm,請單擊“刪除”。
5. 刪除對註冊表所做的更改
警告:賽門鐵克強烈建議在進行任何更改前先備份註冊表。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導,請參閱文檔:如何備份 Windows 註冊表。
1. 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
2. 輸入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
3. 導航至以下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
4. 刪除子鍵:
RpcPatch
和
RpcTftpd
5. 退出註冊表編輯器。
6. 刪除 Svchost.exe 檔案
瀏覽至 %System%\Wins 數據夾,然後刪除 Svchost.exe 檔案。
描述者: Frederic Perriot