W32.Welchia.Worm的发现,防止完全解决方案

hzhou

W32.Welchia.Worm蠕虫病毒利用了多重漏洞
利用DCOM RPC漏洞（Microsoft Security Bulletin MS03-026），蠕虫使用TCP135端口，攻击目标是Windows XP系统
利用WebDav漏洞（Microsoft Security Bulletin MS03-007），蠕虫使用TCP80端口，攻击目标是Microsoft IIS 5.0
该蠕虫会使图从微软网站下载DCOM RPC补丁程序，然后安装并重启电脑。它还会向网络中发送ICMP包或PING包，通过检测回应检查网络中正在使用的系统，结果导致网络中ICMP包的网络流量变大。
它还会试图移除系统中感染的W32.Blaster.Worm蠕虫。
别名: 冲击波变种、拒绝仇恨者、W32/Welchia.worm10240、W32/Nachi.worm、WORM_MSBLAST.D、Lovsan
类型: 蠕虫
受影响的系统: Windows 2000、Windows XP
不受影响的系统: Linux、Macintosh、OS/2、UNIX
===========================================================
当W32.Welchia.Worm运行时，它会执行如下操作：

在复制文件到系统中：%System%\\Wins\\Dllhost.exe。
把%System%\\Dllcache\\Tftpd.exe文件复制成为%System%\\Wins\\svchost.exe（注意：由于Svchost.exe是一个合法程序，它没有任何恶意，所以Symantec反病毒产品将不把它作为病毒处理）
生成如下服务：
服务名称：RpcTftpd
服务显示名称：Network Connections Sharing
程序文件：%System%\\wins\\svchost.exe
该服务将被设置成为手动启动

服务名称：RpcPatch
服务显示名称：WINS Client
服务文件：%System%\\wins\\dllhost.exe
该服务将被设置成为自动启动
终止Msblast进程，并且删除%System%\\msblast.exe文件，从而清除“冲击波”蠕虫。
该蠕虫将通过两种方式选择攻击目标IP地址。它会使用A.B.0.0在受感染系统IP的A.B.C.D上进行累加。它还会根据一些硬件地址构造一个随机的IP地址。
之后蠕虫会向这些构造的IP地址发送ICMP包或PING命令，通过回应以决定它们在网络中是否正在使用。
一旦蠕虫发现该IP地址处于激活状态，它就会利用DCOM RPC漏洞通过TCP135端口，或利用WebDav漏洞通过TCP80端口，向目标系统发送数据包。
感染系统后，蠕虫产生一个远端程序，它会随机使用一个在666与765之间的TCP端口，与感染源连接以获得指令。
在感染源上加载TFTP服务，它会下达指令让被感染系统下载Dllhost.exe和Svchost.exe文件。如果%System%\\dllcache\\tftpd.exe存在，蠕虫将不会下载svchost.exe文件。
检查电脑操作系统的版本、Service Pack版本、系统所在位置，然后从微软网站下载并安装DCOM RPC 补丁程序。
一旦补丁程序被下载并执行，蠕虫将重新启动系统。
蠕虫会检查系统日期，如果年份是2004，蠕虫将会失效并把自身清除。
===========================================================
该蠕虫是利用了系统漏洞访问下载补丁程序：

DCOM RPC漏洞Microsoft Security Bulletin MS03-026
利用WebDav漏洞Microsoft Security Bulletin MS03-007
在大多数情况下，你需要先安装补丁程序然后再执行病毒清除操作。
您可以直接使用专用杀毒工具移除Welchia病毒，访问下载。  

您可以采用手动移除的方式，具体操作如下：

禁用系统恢复功能（Windows XP）。
如何禁用Windows XP的系统恢复功能
升级病毒定义码。
重新启动电脑到安全模式，或是终止病毒程序进程。
对于Windows 95、98、ME：需要重新启动电脑到安全模式。
对于Windows NT\\2000\\XP：请打开任务管理器关闭名称为“Dllhost.exe”的进程。
对系统进行一次完整扫描，删除所有检测为W32.Welchia.Worm的病毒。
删除Svchost.exe文件。

       

此贴由 hzhou 在 2004-02-25 08:57:37 最后编辑