- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/Welchia.12800.B
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000, NT
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.
치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는
근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다.
*WebDAV 패치
http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp
*RPC-DCOM 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
*워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
- ※ 상세 설명
- Worm-W32/Blaster 와 같은 NT 계열의
DCOM RPC 보안의 취약점을 이용하여 감염 전파된다.
그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를
다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이
존재하면 삭제시도를 한다.
ctfmon.dll
Explorer.exe
shimgapi.dll
TaskMon.exe
HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
windows xp의 경우 : TaskMon = c:\windows\system32\taskmon.exe
window 2000의 경우 : TaskMon = c:\winnt\system32\taskmon.exe
웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers
Windows Xp : c:\windows\system32\drivers)에
svchost.exe(12,800 byte)를 생성한다.
svchost.exe 파일은 시스템 폴더(c:\winnt\system32)의 svchost.exe와 다른 파일이다.
또한 자신을 서비스로 등록 되어 실행할수 있게 아래의 내용이 레지스트리에 추가 된다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch
그리고 감염 대상 시스템을 찾기 위해 ICMP 또는, PING 신호를 보내게 되며,
이 과정에서 네트웍 트래픽이 증가하게 된다.
이웜은 3가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다.
1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp)
2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)
3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다.
그리고 윈도우즈의 코드페이지를 확인 하여 일본어 페이지라면
IIS Help 와 Virtual Roots 폴더에 .shtml,.shtm,.stm,.cgi,.php,.html,.htm,.asp
파일을 다음의 HTML 텍스트로 겹쳐쓴다.
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
또한 시스템날짜를 체크하여 2004년 6월1일 이후에 실행되면 자신을 삭제한다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
