Net-Worm.Win32.Welchia.b

Главная / Описания / Net-Worm.Win32.Welchia.b

Печать

Закладки

Время детектирования	29 фев 2004 01:53 MSK
Время выпуска обновления	29 фев 2004 01:53 MSK
Описание опубликовано	12 фев 2004 12:00 MSK

Технические детали

Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.

Кроме этого червь пытается заразить компьютеры, на которых установлен Microsoft IIS 5.0, используя для этого уязвимость в WebDav, описание которой приведено в другом Microsoft Security Bulletin.

Червь написан на языке Visual C++. Имеет размер около 12KB (12800 байт), упакован UPX.

Данный вариант Welchia пытается обнаружить на компьютере червей Mydoom.a и Mydoom.b и удалить их из системы.

Инсталляция

При запуске червь копирует себя с именем "svchost.exe" в каталог %System%\drivers, после чего создает сервис "WksPatch". В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows. Имя сервиса генерируется произвольно из трех разных слов, выбираемых из списков:

Первое слово:

System
Security
Remote
Routing
Performance
Network
License
Internet

Второе слово:

Logging
Manager
Procedure
Accounts
Event

Третье слово:

Provider
Sharing
Messaging
Client

Таким образом, имя службы может быть, например "Remote Accounts Client" или "System Logging Provider".

Червь создает уникальный идентификатор "WksPatch_Mutex" для определения своего присутствия в памяти.

Удаление червя Mydoom

Червь ищет на диске файлы, которые могли быть созданы червями Mydoom.a и Mydoom.b и удаляет их.

%System%\ctfmon.dll
%System%\Explorer.exe
%System%\shimgapi.dll
%System%\TaskMon.exe

Также он удаляет ключ taskmon из ключа автозапуска системного реестра и перезаписывает файл hosts своими данными (аналогичными принятыми по умолчанию в Windows).

Загрузка обновлений для Windows

Червь проверяет системный реестр Windows на наличие информации об установленных патчах/сервис паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта "download.microsoft.com". После того как требуемый патч загружен и установлен, червь перезагружает компьютер.

Размножение

Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM-RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.

Червь выбирает IP-адрес, отсылает на него ICMP-запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки себя с зараженной машины.

Прочее

Червь ищет файлы с расширениям из списка:

shtml
shtm
stm
cgi
php
html
htm
asp

в каталогах соответствующих IIS, и если кодовая страница зараженной системы установлена на японский язык, перезаписывает найденные файлы следующим текстом:

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

Червь прекратит свою работу 1 июня 2004 года.

Вредоносные программы

Вирусы и черви

Net-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.

Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.

Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Другие модификации

Net-Worm.Win32.Welchia.a

Другие названия

Net-Worm.Win32.Welchia.b («Лаборатория Касперского») также известен как:

Worm.Win32.Welchia.b («Лаборатория Касперского»),
Virus: W32/Nachi.worm.b (McAfee)
Virus: W32/Nachi.worm.c (McAfee)
W32/Nachi-B (Sophos)
W32/Nachi-C (Sophos)
Worm.Welchia.b (ClamAV)
Worm.W32.Welchia.B (ClamAV)
Exploit.DCOM.Gen (ClamAV)
W32/Nachi.B.worm (Panda)
Heuristic.WinPE-Statistical (Panda)
W32/Nachi.C.worm (Panda)
W32/Nachi.B (FPROT)
W32/Nachi.L (FPROT)
W32/Nachi.O (FPROT)
Worm:Win32/Nachi.C (MS(OneCare))
Worm:Win32/Nachi.B (MS(OneCare))
Worm:Win32/Nachi.H (MS(OneCare))
Win32.HLLW.LoveSan.4 (DrWeb)
Win32/Nachi.C1 worm (Nod32)
Win32/Nachi.B worm (Nod32)
Win32/Nachi.C worm (Nod32)
Worm.Generic.25324 (BitDef7)
Generic.Malware.SFWX!dld.BF01E505 (BitDef7)
Generic.Malware.SFWX!dld.9FC145CC (BitDef7)
Worm.Win32.Nachi.B (VirusBuster)
Worm.Nachi.C (VirusBuster)
Win32:Nachi-B [Wrm] (AVAST)
Win32:Welchia-C [Wrm] (AVAST)
Net-Worm.Win32.Welchia.I (Ikarus)
Net-Worm.Win32.Welchia (Ikarus)
Net-Worm.Win32.Welchia.c (Ikarus)
Worm/Generic_r.K (AVG)
DR/Korgo.U.1 (AVIRA)
WORM/Nachi.B.1 (AVIRA)
W32.Welchia.B.Worm (NAV)
Nachi.B (Norman)
Worm.Welchia.o (Rising)
Net-Worm.Win32.Welchia.b [AVP] (FSecure)
WORM_NACHI.GEN (TrendMicro)
Worm.Win32.Nachi.gen (v) (Sunbelt)
Worm.Win32.Nachi.B (VirusBusterBeta)
Worm.Nachi.C (VirusBusterBeta)