- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/Welchia.12800.C
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.
치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는
근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다.
*WebDAV 패치
http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp
*RPC-DCOM 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp
*워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
*로케이터 서비스 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp
- ※ 상세 설명
- Worm-W32/Welchia.12800의 변형으로 Worm-W32/Blaster 와 같은 NT 계열의
DCOM RPC 보안의 취약점을 이용하여 감염 전파된다.
그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를
다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이
존재하면 삭제시도를 한다.
ctfmon.dll
Explorer.exe
shimgapi.dll
TaskMon.exe
웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers
Windows Xp : c:\windows\system32\drivers)에
svhost.exe(12,800 byte)를 생성한다.
이웜은 4가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다.
1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp)
2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)
3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
4. 로케이터 서비스 취약점 (http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)
웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다.
또한 시스템날짜를 체크하여 2004년 6월1일 이후 또는 실행된지 120일이 지나면 실행되지 않고 자신을 삭제한다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
