荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: tianck (心随意动!), 信区: Security
标  题: W32.Welchia.Worm
发信站: 荔园晨风BBS站 (Tue Mar  9 15:04:21 2004), 站内信件

涉及的安全漏洞

MS03-001
MS03-007
MS03-026
MS03-039
MS03-043
MS03-049

杀毒后最好全部打上这些布丁,装上防火墙,把ICMP相关选项都禁了
------------------------------------------------------------


W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:

使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin
MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标

使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin
MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft IIS 5.0 的
机器为攻击目标。


W32.Welchia.Worm 运行时会运行下列动作:

此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,
加以安装之后再重新启动计算机。
此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致
ICMP 流量增加。
此蠕虫也会试图移除 W32.Blaster.Worm。


================================


W32.Welchia.B.Worm exploits multiple vulnerabilities, including:


The DCOM RPC vulnerability (first described in Microsoft Security
Bulletin MS03-026) using TCP port 135. The worm specifically targets
Windows XP machines using this exploit. Users are recommended to patch
this vulnerability by applying Microsoft Security Bulletin MS03-039.
The WebDav vulnerability (described in Microsoft Security Bulletin
MS03-007) using TCP port 80. The worm specifically targets machines
running Microsoft IIS 5.0 using this exploit. The worm's use of this
exploit will impact Windows 2000 systems and may impact Windows NT/XP
systems.
The Workstation service buffer overrun vulnerability (described in
Microsoft Security Bulletin MS03-049) using TCP port 445. Windows XP
users are protected against this vulnerability if Microsoft Security
Bulletin MS03-043 has been applied. Windows 2000 users must apply
MS03-049.
The Locator service vulnerability using TCP port 445 (described in
Microsoft Security Bulletin MS03-001). The worm specifically targets
Windows 2000 machines using this exploit.

==================================
W32.Welchia.C.Worm
Discovered on: February 15, 2004
Last Updated on: February 24, 2004 04:25:23 PM

W32.Welchia.C.Worm is a minor variation of, and functionally
equivalent to W32.Welchia.B.Worm.

If the version of the operating system of the infected machine is
Chinese, Korean, or English, the worm will attempt to download the
Microsoft Workstation Service Buffer Overrun and Microsoft Messenger
Service Buffer Overrun patches from the Microsoft? Windows Update Web
site, install it, and then restart the computer.

The worm also attempts to remove W32.Mydoom.A@mm and W32.Mydoom.B@mm
worms.

W32.Welchia.C.Worm exploits multiple vulnerabilities, including:


The DCOM RPC vulnerability (first described in Microsoft Security
Bulletin MS03-026) using TCP port 135. The worm specifically targets
Windows XP machines using this exploit. Users are recommended to patch
this vulnerability by applying Microsoft Security Bulletin MS03-039.
The WebDav vulnerability (described in Microsoft Security Bulletin
MS03-007) using TCP port 80. The worm specifically targets machines
running Microsoft IIS 5.0 using this exploit. The worm's use of this
exploit will impact Windows 2000 systems and may impact Windows NT/XP
systems.
The Workstation service buffer overrun vulnerability (described in
Microsoft Security Bulletin MS03-049) using TCP port 445. Windows XP
users are protected against this vulnerability if Microsoft Security
Bulletin MS03-043 has been applied. Windows 2000 users must apply
MS03-049.
The Locator service vulnerability using TCP port 445 (described in
Microsoft Security Bulletin MS03-001). The worm specifically targets
Windows 2000 machines using this exploit.








--

   “我要这天,再遮不住我眼,
     要这地,再埋不了我心,
     要这众生,都明白我意,
     要那诸佛,都烟消云散!”

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.55.117]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店