RSS-каналы
Уровень опасности: 1
Net-Worm.Win32.Welchia.b
| Время детектирования | 29 фев 2004 01:53 MSK |
| Время выпуска обновления | 29 фев 2004 01:53 MSK |
| Описание опубликовано | 12 фев 2004 12:00 MSK |
Технические детали
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.Кроме этого червь пытается заразить компьютеры, на которых установлен Microsoft IIS 5.0, используя для этого уязвимость в WebDav, описание которой приведено в другом Microsoft Security Bulletin.
Червь написан на языке Visual C++. Имеет размер около 12KB (12800 байт), упакован UPX.
Данный вариант Welchia пытается обнаружить на компьютере червей Mydoom.a и Mydoom.b и удалить их из системы.
Инсталляция
При запуске червь копирует себя с именем "svchost.exe" в каталог %System%\drivers, после чего создает сервис "WksPatch". В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows. Имя сервиса генерируется произвольно из трех разных слов, выбираемых из списков:Первое слово:
System Security Remote Routing Performance Network License Internet
Второе слово:
Logging Manager Procedure Accounts Event
Третье слово:
Provider Sharing Messaging ClientТаким образом, имя службы может быть, например "Remote Accounts Client" или "System Logging Provider".
Червь создает уникальный идентификатор "WksPatch_Mutex" для определения своего присутствия в памяти.
Удаление червя Mydoom
Червь ищет на диске файлы, которые могли быть созданы червями Mydoom.a и Mydoom.b и удаляет их.%System%\ctfmon.dll %System%\Explorer.exe %System%\shimgapi.dll %System%\TaskMon.exeТакже он удаляет ключ taskmon из ключа автозапуска системного реестра и перезаписывает файл hosts своими данными (аналогичными принятыми по умолчанию в Windows).
Загрузка обновлений для Windows
Червь проверяет системный реестр Windows на наличие информации об установленных патчах/сервис паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта "download.microsoft.com". После того как требуемый патч загружен и установлен, червь перезагружает компьютер.Размножение
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM-RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.Червь выбирает IP-адрес, отсылает на него ICMP-запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки себя с зараженной машины.
Прочее
Червь ищет файлы с расширениям из списка:shtml shtm stm cgi php html htm aspв каталогах соответствующих IIS, и если кодовая страница зараженной системы установлена на японский язык, перезаписывает найденные файлы следующим текстом:
LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future !Червь прекратит свою работу 1 июня 2004 года.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.
- Worm.
Win32. Welchia. b («Лаборатория Касперского») - Virus:
W32/Nachi. worm. b (McAfee) - Virus:
W32/Nachi. worm. c (McAfee) - W32/Nachi-B (Sophos)
- W32/Nachi-C (Sophos)
- Worm.
Welchia. b (ClamAV) - Worm.
W32. Welchia. B (ClamAV) - Exploit.
DCOM. Gen (ClamAV) - W32/Nachi.
B. worm (Panda) - Heuristic.
WinPE-Statistical (Panda) - W32/Nachi.
C. worm (Panda) - W32/Nachi.
B (FPROT) - W32/Nachi.
L (FPROT) - W32/Nachi.
O (FPROT) - Worm:
Win32/Nachi. C (MS(OneCare)) - Worm:
Win32/Nachi. B (MS(OneCare)) - Worm:
Win32/Nachi. H (MS(OneCare)) - Win32.
HLLW. LoveSan. 4 (DrWeb) - Win32/Nachi.
C1 worm (Nod32) - Win32/Nachi.
B worm (Nod32) - Win32/Nachi.
C worm (Nod32) - Worm.
Generic. 25324 (BitDef7) - Generic.
Malware. SFWX!dld. BF01E505 (BitDef7) - Generic.
Malware. SFWX!dld. 9FC145CC (BitDef7) - Worm.
Win32. Nachi. B (VirusBuster) - Worm.
Nachi. C (VirusBuster) - Win32:
Nachi-B [Wrm] (AVAST) - Win32:
Welchia-C [Wrm] (AVAST) - Net-Worm.
Win32. Welchia. I (Ikarus) - Net-Worm.
Win32. Welchia (Ikarus) - Net-Worm.
Win32. Welchia. c (Ikarus) - Worm/Generic_r.
K (AVG) - DR/Korgo.
U. 1 (AVIRA) - WORM/Nachi.
B. 1 (AVIRA) - W32.
Welchia. B. Worm (NAV) - Nachi.
B (Norman) - Worm.
Welchia. o (Rising) - Net-Worm.
Win32. Welchia. b [AVP] (FSecure) - WORM_NACHI.
GEN (TrendMicro) - Worm.
Win32. Nachi. gen (v) (Sunbelt) - Worm.
Win32. Nachi. B (VirusBusterBeta) - Worm.
Nachi. C (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей