Re: 关于杀w32.welchia.b.worm的方法 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: looselee (无门地狱鬼), 信区: Virus
标  题: Re: 关于杀w32.welchia.b.worm的方法
发信站: 荔园晨风BBS站 (Fri Feb 27 09:57:00 2004), 站内信件

以下是病毒介绍和解决方法：CERT关于防范Nachi病毒变种的安全公告

病毒名称：Nachi.B

蠕虫别名：W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos],
          Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend],
          Worm.Win32.Welchia.b [Kaspersky], W32.Welchia.b.Worm[Symantec]

感染系统：Windows 2000, Windows XP

蠕虫信息：
    Nachi.B是Nachi蠕虫的一个最新变种，这个蠕虫会判断操作系统的版本，如果系统
    版本是中文简体、中文繁体、韩文、英文的话，蠕虫会试图从微软的update服务器
    上下载windows信使服务缓冲溢出漏洞与windows系统的Workstation服务缓冲溢出漏
洞
    的补丁程序安装并重新启动系统。

         同时这个蠕虫还会清除W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫。

Nachi.B蠕虫利用了以下几个漏洞进行传播：
    1、Microsoft RPC接口远程任意代码可执行漏洞，
       漏洞使用TCP 135端口。如果操作系统是winxp，蠕虫会使用该漏洞传播。
    2、Microsoft IIS 5.0缓冲区溢出漏洞,
       漏洞使用TCP 80端口。如果系统中安装有IIS5.0的话，蠕虫会利用这个漏洞传播
。
    3、windows系统的Workstation服务缓冲溢出漏洞，
      漏洞使用TCP 445端口。
    4、Microsoft Windows Locator服务远程缓冲区溢出漏洞，
       漏洞使用TCP 445端口，如果系统是win2000，蠕虫会利用该漏洞传播。

如果你的系统中%Windir%\system32\drivers\目录下存在svchost.exe文件，就表明你的
系
统已经被感染了。

一旦系统被感染，蠕虫将做以下操作：

1、在系统中创建一个名为WksPatch_Mutex的互斥体，该互斥体存在的目的是为了保证系
统进
   程中始终有且只有一个蠕虫进程在运行。

2、将自身拷贝成%System%\drivers\svchost.exe (注：%Windir%是一个变数，根据系统
   安装的目录路径而改变，默认情况下是c:\windows或c:\winnt)

3、创建一个系统服务：
   服务名：WksPatch
   服务程序：%System%\drivers\svchost.exe
   服务描述：由%string1% %string2% %string3%三个字符组成，字符串内容随机从下
表中抽取。
   A、字符串%string1%
      System
      Security
      Remote
      Routing
      Performance
      Network
      License
      Internet
   B、字符串%string2%
      Provider
      Sharing
      Messaging
      Client
   C、字符串%string3%
      Provider
      Sharing
      Messaging
      Client
   举例说明：构造好的服务描述名可能是Security Logging Sharing

4、删除服务名为RpcPatch的服务，如果它存在的话。（注：这个服务是Nachi蠕虫留下的
）

5、检测注册表中是否有W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫创建的下列表项：
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD
lg32\Version
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDl
g32\Version

6、如果通过上述检测发现系统中存在W32.Mydoom.A@mm 和W32.Mydoom.B@mm 蠕虫的话，
该蠕
   虫将做以下操作：
   a、删除下列文件
      %System%\ctfmon.dll
      %System%\Explorer.exe
      %System%\shimgapi.dll
      %System%\TaskMon.exe
   b、删除注册表
      HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      项中的Taskmon值
      删除注册表
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
     项中的Taskmon值
    c、恢复注册表
       HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcS
erver32
       项中的值为"@"="%SystemRoot%\System32\webcheck.dll"
    d、重写HOSTS文件的内容为：
       #
       #
       127.0.0.1 localhost

7、创建随机的IP地址，并向这些地址发送攻击数据包，攻击数据包括以下这些：
    a、发往TCP 135端口利用Microsoft RPC接口远程任意代码可执行漏洞的数据包
    b、发往TCP 80端口利用IIS5.0的WEBDAV漏洞的数据包
    c、发往TCP 445端口利用Workstation服务缓冲溢出漏洞的数据包
    d、发往TCP 445端口利用Locator服务远程缓冲区溢出漏洞的数据包

8、运行HTTP服务在一个随机的端口，使得其他机器可以到被感染的机器下载蠕虫。

9、如果被感染的系统为日文系统，蠕虫会搜寻IIS的虚拟目录和%Windir%\Help\\IISHel
p\common目
   录中的带有下列后缀的文件：.

     .shtml
     .shtm
     .stm
     .cgi
     .php
     .html
     .htm
     .asp

10、将上述查找到的文件覆盖成下面这个.htm文件：

11、如果系统版本是中文简体，中文繁体，韩文，英文的话，蠕虫将从微软的update站点
下载
    下列补丁程序：
   download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/
   WindowsXP-KB828035-x86-CHS.exe

   download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/
   WindowsXP-KB828035-x86-KOR.exe

   download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/
   WindowsXP-KB828035-x86-ENU.exe

   download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/
   Windows2000-KB828749-x86-CHS.exe

   download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/
   Windows2000-KB828749-x86-KOR.exe

   download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/
   Windows2000-KB828749-x86-ENU.exe

12、安装补丁程序然后重新启动系统。

13、满足下列条件之一，蠕虫将自动删除：
    a、系统日期为2004年6月1号以后
    b、蠕虫在系统上运行了120天

解决办法：
一、使用专杀工具
    你可以到我们的网站上下载专杀工具：   FixWelch.exe.
    下载后请关闭其他应用程序后运行该专杀工具。

二、手动查杀
   1、关闭系统的自动恢复功能(winxp自带的功能)
   2、升级你的杀毒软件到最新的病毒库
   3、重新启动系统到安全模式下
   4、使用杀毒软件进行全盘扫描，发现病毒程序选择删除
   5、重新启动系统

CCERT 关于防范W32.Nachi.Worm 蠕虫公告
中国教育和科研计算机网紧急响应组（CCERT） 2003 年8月19日

-----------------------------------------------------------------------------
---

　　蠕虫名称

　　MSBlast.D （趋势科技）
　　LovSAN.D （F-Secure ）
　　W32/Nachi.Worm （NAI）
　　W32.Welchia.Worm (Symantec)
　　CVE参考 : CAN-2003-0109, CAN-2003-0352

　　影响系统

　　Windows 2000, Windows XP / Windows 2003

　　简单描述

　　W32.Nachi.Worm蠕虫(以下简称Nachi蠕虫)利用了Microsoft Windows DCOM RPC接口
远程缓冲区溢出漏洞(漏洞信息参见http://www.ccert.edu.cn/ advisor ies/all.php?R
OWID=48) 和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞（漏洞信息参见http:
//www.ccert. edu.cn/advisories/all.php?ROWID=28）进行传播。如果该蠕虫发现被感
染的机器上有“冲击波”蠕虫，则杀掉“冲击波”蠕虫，并为系统打上补丁程序，但由于
程序运行上下文的限制，很多系统不能被打上补丁，并被导致反复重新启动。Nachi蠕虫
感染机器后，会产生大量长度为92字节的ICMP报文，从而严重影响网络性能。(ICMP流量
增长趋势参见附图)。
这些ICMP数据包的特征如下（其中xxx为隐去的IP地址）：

　　xxx.xxx.xxx.xxx > xxx.xxx.xxx.xxx: icmp: echo request
　　4500 005c 1a8d 0000 7801 85be xxxx xxxx
　　xxxx xxxx 0800 26b1 0200 79f9 aaaa aaaa
　　aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa
　　aaaa aaaa aaaa

　　计算机感染特征

　　1、被感染机器中存在如下文件：

　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

　　2、注册表中增加如下子项：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcPatch

　　3、增加两项伪装系统服务：

　　Network Connection Sharing
　　WINS Client

　　4、监听TFTP端口(69)，以及一个随机端口（常见为707）；

　　5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不
可用。

　　6、大量对135端口的扫描；

　　蠕虫的详细信息

　　在被感染的机器上蠕虫会做以下操作：

　　1、蠕虫首先将自身拷贝到%System%\Wins\Dllhost.exe （%system%根据系统不同而
不同，win2000为c:\winnt\system32,winxp为c:\windows\system32)

　　2、拷贝%System%\Dllcache\Tftpd.exe到%System%\Wins\svchost.exe

　　3、创建RpcTftpd服务，该服务取名Network Connections Sharing，并拷贝Distrib
uted Transaction Coordinator服务的描述信息给自身。

　　服务的中文描述信息为：并列事务，是分布于两个以上的数据库，消息队列，文件系
统，或其它事务保护资源管理器

　　创建RpcPatch服务，该服务取名WINS Client，并拷贝Computer Browser服务的描述
信息给自身。服务的中文描述信息为：维护网络上计算机的最新列表以及提供这个列表
给请求的程序。

　　4、判断内存中是否有msblaster蠕虫的进程，如果有就杀掉，判断system32目录下有
没有msblast.exe 文件，如果有就删除。

　　5、使用类型为echo的ICMP报文ping根据自身算法得出的ip地址段，检测这些地址段
中存活的主机。

　　6、一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行
溢出攻击。溢出成功后会监听666-765范围中随机的一个端口等待目标主机回连。但是从
我们监测情况看，通常都是707端口。

　　7、建立连接后发送“dir dllcache\tftpd.exe”和“dir wins\dllhost.exe”命令
，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件
，就将tfptd拷贝到%system%\wins\svhost.exe，如果没有，就利用自己建立的tftp服务
将文件传过后再拷贝。

　　8、检测自身的操作系统版本号及server pack的版本号，然后到微软站点下载相应的
ms03-26补丁并安装。如果补丁安装完成就重新启动系统。

　　9、监测当前的系统日期，如果是2004年，就将自身清除。

　　网络控制方法

　　如果您不需要应用这些端口来进行服务，为了防范这种蠕虫，你应该在防火墙上阻塞
下面的协议端口:

　　UDP Port 69, 用于文件下载
　　TCP Port 135, 微软：DCOM RPC
　　ICMP echo request(type 8) 蠕虫用于发现活动主机

　　如果您使用基于网络的入侵检测系统（比如Snort），snort兼容的系统可使用如下检
测规则：
　　alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"W32.Nachi.Worm infect
";content:"|aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa|";itype:8;depth:32; reference:h
ttp://www.ccert.edu.cn; sid:483; classtype:misc-activity; rev:2;)

　　手动清除方法

　　如果您的计算机感染了Nachi蠕虫，可以用如下方法清除：

　　1、停止如下两项服务（开始->程序->管理工具->服务）：

　　WINS Client
　　Network Connections Sharing

　　2、检查、并删除文件:

　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE

　　3. 进入注册表（“开始->运行：regedit），删除如下键值：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
　　RpcPatch

　　4. 给系统打补丁（否则很快被再次感染）,

【在 carey (一剑西来，天外飞仙) 的大作中提到: 】
: 刚才在同学这里试过，可行。
: 1、找出病毒所在。这里是C盘windows的drives里面的S-Vhost
: 2、重启，按F8进安全模式，杀之。
: 3、done

--
当灰尘迷离你的双眼，你是否还能看清世间丑恶；
当冲动弥漫你的心灵，你是否还能遏制心中罪恶；
当感动充盈你的大脑，你是否还能分辨善恶真假；

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.39.41]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店