(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Worm-W32/Welchia.12800.C

바이러스 종류

Worm

실행환경

Windows

발견일

2004년02월14일

제작지

불분명

위험등급

확산방법

바이러스 크기

12,800 Bytes

첨부파일

메일제목

증상요약

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.

치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는
근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다.

*WebDAV 패치
http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp

*RPC-DCOM 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

*워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp

*로케이터 서비스 다운로드 안내
http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp

상세설명

Worm-W32/Welchia.12800의 변형으로 Worm-W32/Blaster 와 같은 NT 계열의
DCOM RPC 보안의 취약점을 이용하여 감염 전파된다.

그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를
다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이
존재하면 삭제시도를 한다.

ctfmon.dll
Explorer.exe
shimgapi.dll
TaskMon.exe

웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers
Windows Xp : c:\windows\system32\drivers)에
svhost.exe(12,800 byte)를 생성한다.

이웜은 4가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다.

1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp)
2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)
3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp
4. 로케이터 서비스 취약점 (http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)

웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다.

또한 시스템날짜를 체크하여 2004년 6월1일 이후 또는 실행된지 120일이 지나면 실행되지 않고 자신을 삭제한다.

예방 및 수동조치방법