1、Worm.Win32.Welchia.b 蠕虫警告及清除哈尔滨工业大学 CERT 小组目前校园网大量的机器感染 Worm.Win32.Welchia.b 蠕虫,它是 Worm.Win32.Wechia 的变种。如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,则该蠕虫将尝试从 Microsoft Windows Update 网站下载 Microsoft 工作站服务中的缓冲区溢出可能允许执行代码和 Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行补丁,然后安装补丁并重新启动计算机。 同时,该蠕虫还尝试删除 W32.Mydoom.Amm 和 W32.Mydoom
2、.Bmm 蠕虫。1、利用的漏洞Worm.Win32.Welchia.b 利用多个漏洞,包括: 通过 TCP 端口 135 利用 DCOM RPC 漏洞(如 Microsoft 安全公告 MS02-026 中所述) 。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。 通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述) 。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。 通过 TCP 端口 44
3、5 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述) 。 通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述) 。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。该蠕虫也是第一个利用 MS03-049 的蠕虫2、危害单机用户出现系统运行速度变慢,拷贝、粘贴功能不好用。对于网络由于该蠕虫用 100 个线程进行扫描,因此对会造成网络的拥塞,对于网络基础设施危害很大。对于存在 iis 服务的服务器,该蠕虫还会对有关页面进行更改。 (针对于日文操作系统)3、特点
4、Worm.Win32.Welchia.b 是用 Visual C+开发,长度为 12,800 Bytes (采用 upx 压缩) 。3.1 安装安装与自启动该蠕虫创建名为 Wkspatch_mutex 的互斥体,检查内存中是否已经存在该蠕虫。随后,它在%System32%drivers 文件夹中生成自身拷贝文件 SVCHOST.EXE。 (注意:在 Windows 95, 98 和 ME 系统上, Windows 系统文件夹通常是C:WindowsSystem ;在 Windows 2000 和 NT 系统上,通常是 C:WINNTSystem32 ;在Windows XP 系统上,通常是 C
5、:WindowsSystem32) 它还会生成如下注册表键,使蠕虫在 Windows 启动的时候作为一种服务运行: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch与早期的变种不同,该蠕虫不会在%System32%WINS 文件夹中生成拷贝TFTPD.EXE(TCP/IP Trivial 文件传输后台程序)。它在%System32%WINS 文件夹中也不会生成自身拷贝 DLLHOST.EXE。 该蠕虫随后删除如下文件: TASKMON.EXE SHIMGAPI.DLL EXPLORER.EXE CTFMON.DLL 注意,该蠕虫
6、认为蠕虫 WORM_MYDOOM.A 使用文件 TASKMON.EXE 和 SHIMGAPI.DLL,蠕虫 WORM_MYDOOM.B 使用文件 EXPLORER.EXE 和 CTFMON.DLL。这是因为这些文件名是蠕虫 MYDOOM 的拷贝。 3.2 网络特点首先,它利用上述的漏洞用 100 个线程进行扫描扫描,扫描的端口为 80、135、445等。随后它利用操作系统版本和本地信息。通过连接如下网站检查因特网连接状况: 它从预定义的微软网站下载补丁。随后执行该补丁并重启系统3.3 其他文件及注册表的修改它会创建如下注册表键: HKEY_LOCAL_MACHINESYSTEMCurre
7、ntControSet001ServicesWksPatch Type = dword:00000010 Start = dword:00000002 ErrorControl = dword:00000000 ImagePath DisplayName = “ ObjectName = “LocalSystem“ Description = “Maintains an up-to-date list of computers on your network and supplies the list to programs that request it.“ 注册表数值“DisplayNam
8、e“由三组字符串产生,它们都是蠕虫随意选择的。该注册表值的数值可能为如下组合: %String1% %String2% %String3%String1% 可能为如下字符串: Security Remote Routing Performance Network License Internet System Browser %String2% 可能为如下字符串: Manager Procedure Accounts Event Logging %String3% 可能为如下字符串: Sharing Messaging Client Provider 如下是该蠕虫产生注册表数值 Display
9、Name 的例子: Network Accounts Messaging Remote Procedure Client 该蠕虫还会创建如下注册表键: HKEY_LOCAL_MACHINESystemCurrentControlSetServices WksPatchSecurity Security 删除注册表中存在的“Taskmon“ 和“Explorer“ 数值(为了清除 mydoom.a) HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWind
10、ows CurrentVersionRun 该蠕虫还会覆盖如下被蠕虫 MYDOOM 修改的注册表键: HKEY_LOCAL_MACHINECLSIDE6FB5E20-DE35-11CF-9C87-00AA005127ED InProcServer32 default = %SystemRoot%System32webcheck.dll 该蠕虫还会认为 WEBCHECK.DLL (Web Site Monitor)是注册表键的原始数值。 该蠕虫打开在%System32%driversetc目录下的 HOSTS 文件,然后写下如下字符串:# # 127.0.0.1 该蠕虫还会检查系统日期。如果为
11、2004 年 6 月,则该蠕虫结束自身的运行。 如下文本是在蠕虫体中发现的: LET HISTORY TELL FUTURE !1931.9.181937.7.71937.12.13 300,000 !1941.12.71945.8.6 Little boy1945.8.9 Fatso1945.8.15Let history tell future !4、清除4.1 手工清除方法 下面操作清除运行在 Windows NT, 2000, 和 XP 系统内存中的病毒服务: 1. 打开命令行窗口。点击 StartRun, 敲入 CMD 后回车 2. 在命令行提示符下,敲入: NET STOP “Ne
12、twork Connections Sharing“ 等有关组合见上 3.33. 回车。然后将显示该服务已经停止的信息。 4. 然后在命令行提示符下,敲入: NET STOP “Wkspatch“ 5. 回车。然后将显示该服务已经停止的信息。 6. 关闭命令行窗口 7. 打开注册表编辑器。点击 StartRun, 敲入 REGEDIT,回车 8. 在左边的面板中,双击如下项目: HKEY_LOCAL_MACHINESystemCurrentControlSetServices 9. 在左边的面板中,删除如下子键: WksPatch 10. 关闭注册表编辑器 11. 删除%System32%drivers 目录下的 svchost.exe12. 如果,用 net stop 无法停住服务则先在注册表中删除有关关键值,从新启动系统后删除%System32%drivers 目录下的 svchost.exe。4.2 利用专杀工具从 http:/ 下载有关专杀工具,依照提示进行清除。4.3 升级系统,打补丁有关漏洞及信息见:http:/
