WormWin32Welchiab蠕虫警告和清除.doc

Worm.Win32.Welchia.b蠕虫警告及清除 哈尔滨工业大学CERT小组 目前校园网大量的机器感染Worm.Win32.Welchia.b蠕虫，它是Worm.Win32.Wechia 的变种。如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统，则该蠕虫将尝试从 Microsoft Windows Update 网站下载 Microsoft 工作站服务中的缓冲区溢出可能允许执行代码和Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行补丁，然后安装补丁并重新启动计算机。 同时，该蠕虫还尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。 1、利用的漏洞 Worm.Win32.Welchia.b 利用多个漏洞，包括： 通过 TCP 端口 135 利用 DCOM RPC 漏洞（如Microsoft 安全公告 MS02-026 中所述）。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。 通过 TCP 端口 80 利用 WebDav 漏洞（如 Microsoft 安全公告 MS03-007 中所述）。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞，将会影响 Windows 2000 系统，并可能影响 Windows NT/XP 系统。 通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞（如 Microsoft 安全公告 MS03-049 中所述）。 通过 TCP 端口 445 利用 Locator 服务漏洞（如 Microsoft 安全公告 MS03-001 中所述）。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。 该蠕虫也是第一个利用MS03-049的蠕虫 2、危害 单机用户出现系统运行速度变慢，拷贝、粘贴功能不好用。 对于网络由于该蠕虫用100个线程进行扫描，因此对会造成网络的拥塞，对于网络基础设施危害很大。 对于存在iis服务的服务器，该蠕虫还会对有关页面进行更改。（针对于日文操作系统） 3、特点 Worm.Win32.Welchia.b是用Visual C++开发,长度为12,800 Bytes (采用upx压缩)。 3.1安装 安装与自启动 该蠕虫创建名为 Wkspatch_mutex 的互斥体，检查内存中是否已经存在该蠕虫。随后，它在%System32%\drivers文件夹中生成自身拷贝文件SVCHOST.EXE。 (注意：在Windows 95, 98 和 ME系统上，Windows系统文件夹通常是C:\Windows\System ；在Windows 2000 和 NT系统上，通常是 C:\WINNT\System32 ；在Windows XP系统上，通常是C:\Windows\System32) 它还会生成如下注册表键，使蠕虫在Windows启动的时候作为一种服务运行： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch 与早期的变种不同，该蠕虫不会在%System32%\WINS文件夹中生成拷贝TFTPD.EXE(TCP/IP Trivial文件传输后台程序)。它在%System32%\WINS文件夹中也不会生成自身拷贝DLLHOST.EXE。 该蠕虫随后删除如下文件： TASKMON.EXE SHIMGAPI.DLL EXPLORER.EXE CTFMON.DLL 注意，该蠕虫认为蠕虫WORM_MYDOOM.A使用文件TASKMON.EXE 和 SHIMGAPI.DLL，蠕虫WORM_MYDOOM.B使用文件EXPLORER.EXE 和 CTFMON.DLL。这是因为这些文件名是蠕虫MYDOOM的拷贝。 3.2网络特点 首先，它扫描操作系统版本和本地信息。通过连接如下网站检查因特网连接状况： 它从预定义的微软网站下载补丁。随后执行该补丁并重启系统 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet001\Services\WksPatch Type = dword Start = dword ErrorControl = dword ImagePath DisplayName = ObjectName = LocalSystem Description = Maintains an up-to-date list of computers on your network and supplies the list to pro