- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/Welchia.10240
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000, NT
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- <br>
터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.
<br>
<br>
치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는
근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다.
<br>
<br>
<b>*WebDAV 패치</b>
<br>
<a href ="
http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp" target="_blink">
<br>http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp</a>
<br>
- ※ 상세 설명
- 비주얼 C++로 작성되었으며, Worm-W32/Blaster 와 같은 NT 계열의
DCOM RPC 보안의 취약점을 이용하여 감염 전파된다.
그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를
다운받아 설치한 후에 재부팅후 Worm-W32/Blaster가 존재하면 삭제시도를 한다.
웜이 실행 되면 윈도우 시스템 하위 wins폴더(c:\winnt\system32\wins)에
dllhost.exe(10,240 byte)와 svchost.exe(19,728 byte)를 생성한다.
svchost.exe 파일은 시스템 폴더의 dllcache폴더(c:\winnt\system32\dllcache)에서 정상파일인 tftpd.exe을 복사한 후 이름을 변경한것으로, 시스템 폴더(c:\winnt\system32)의 svchost.exe와 다른 파일이다.
또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
그리고 감염 대상 시스템을 찾기 위해 ICMP 또는, PING 신호를 보내게 되며, 이 과정에서 네트웍 트래픽이 증가하게 된다.
이웜은 두가지 포트를 이용하여 시스템 이상을 일으키는데, 135번 포트를
통해서는 DCOM RPC 취약점을, 또한 80번 포트를 통해서는 WebDav 취약점
(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)을 이용하여 IIS 5.0 시스템을 공격한다.
웜 내부에는 다음과 같은 문자열이 존재 한다.
=========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins
또한 2004년이 되어 실행 되면 자신을 삭제하게 된다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
