(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Worm-W32/Welchia.10240

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

발견일

2003년08월18일

제작지

중국

위험등급

확산방법

바이러스 크기

10,240 Bytes

첨부파일

메일제목

증상요약

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다.

치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다.

*WebDAV 패치

http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp

상세설명

비주얼 C++로 작성되었으며, Worm-W32/Blaster 와 같은 NT 계열의
DCOM RPC 보안의 취약점을 이용하여 감염 전파된다.

그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를
다운받아 설치한 후에 재부팅후 Worm-W32/Blaster가 존재하면 삭제시도를 한다.

웜이 실행 되면 윈도우 시스템 하위 wins폴더(c:\winnt\system32\wins)에
dllhost.exe(10,240 byte)와 svchost.exe(19,728 byte)를 생성한다.

svchost.exe 파일은 시스템 폴더의 dllcache폴더(c:\winnt\system32\dllcache)에서 정상파일인 tftpd.exe을 복사한 후 이름을 변경한것으로, 시스템 폴더(c:\winnt\system32)의 svchost.exe와 다른 파일이다.

또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

그리고 감염 대상 시스템을 찾기 위해 ICMP 또는, PING 신호를 보내게 되며, 이 과정에서 네트웍 트래픽이 증가하게 된다.

이웜은 두가지 포트를 이용하여 시스템 이상을 일으키는데, 135번 포트를
통해서는 DCOM RPC 취약점을, 또한 80번 포트를 통해서는 WebDav 취약점
(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)을 이용하여 IIS 5.0 시스템을 공격한다.

웜 내부에는 다음과 같은 문자열이 존재 한다.

=========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins

또한 2004년이 되어 실행 되면 자신을 삭제하게 된다.

예방 및 수동조치방법