--- 技服中心網站電子報 - 第75期 (2004/02/16) ---

W32.Welchia.B 是 W32.Welchia 的變種，以UPX壓縮，於2004/2/11 (三)發現，Symantec 於 2/13 (五)將它的危險性提升為三級，，如果受感染的作業系統是中文、韓文、英文版，蠕蟲會去下載下面 Workstation Service Buffer Overrun 和 Microsoft Messenger Service Buffer Overrun 修補程式進行安裝，然後重新啟動電腦，企圖去移除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 兩隻蠕蟲。

一、簡介：

別名：W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b
類型：蠕蟲
感染長度：12,800 bytes
受影響作業系統：Windows 2000, Windows XP
不受影響作業系統： DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me
CVE參考文章： CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0812
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0352
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0109
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0003

W32.Welchia.B.Worm 會利用的弱點包括：

1、DCOM RPC 弱點(MS03-026，2003/8/14公佈)，使用 TCP port 135，目標為 Windows XP

Buffer Overrun In RPC Interface Could Allow Code Execution http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp

RPC 介面中的緩衝區滿溢可能會允許執行程式碼
http://www.microsoft.com/taiwan/security/bulletins/ms03-026.asp

2、WebDav 弱點(MS03-007，2003/3/17公佈)，使用 TCP port 80，目標為Microsoft IIS 5.0，但是受影響系統包括Windows NT/2000/XP

Unchecked Buffer In Windows Component Could Cause Server Compromise
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-007.asp

Windows 元件中未檢查的緩衝區可能造成網路伺服器洩漏
http://www.microsoft.com/taiwan/security/bulletins/ms03-007.asp

3、Workstation service buffer overrun 弱點(MS03-049，2003/11/11公佈)，使用 TCP port 445

Microsoft Workstation Service Buffer Overrun
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp

工作站服務中的緩衝區滿溢可能會允許執行程式碼
http://www.microsoft.com/taiwan/security/bulletins/ms03-049.asp

4、 Locator service 弱點(MS03-043，2003/10/15公佈)，使用 TCP port 445，目標為 Windows 2000

Microsoft Messenger Service Buffer Overrun
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-043.asp

信差服務中的緩衝區滿溢可能會允許執行程式碼
http://www.microsoft.com/taiwan/security/bulletins/ms03-043.asp

如果使用者在電腦中發現 %Windir%\system32\drivers\svchost.exe，表示有可能受感染。

三 技術細節：

當When W32.Welchia.B.Worm執行時，它會做下面事情：

建立稱為WksPatch_Mutex的mutex，使蠕蟲不會在記憶體中重複執行。

將自己拷貝成 %System%\drivers\svchost.exe 檔案。

建立下面服務：

服務名稱：WksPatch
服務程式：%System%\drivers\svchost.exe
顯示名稱：格式為 %string1% %string2% %string3%

%string1%可能是下面其中之一：

System
Security
Remote
Routing
Performance
Network
License
Internet

%string2%可能是下面其中之一：

Logging
Manager
Procedure
Accounts
Event

%string3%可能是下面其中之一：

Provider
Sharing
Messaging
Client

舉例來說，名稱可能為"Security Logging Sharing."

刪除 W32.Welchia.Worm所建立的服務 RpcPatch
尋找下面機碼，檢查W32.Mydoom.A@mm and W32.Mydoom.B@mm 是否存在：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

如果找到W32.Mydoom.A@mm 和 W32.Mydoom.B@mm，嘗試刪除：

刪除下面檔案：

%System%\ctfmon.dll
%System%\Explorer.exe
%System%\shimgapi.dll
%System%\TaskMon.exe

從下面機碼中刪除 Taskmon：

HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run

復原下面機碼：
HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

中的下面值：
\InProcServer32"@"="%SystemRoot%\System32\webcheck.dll"
用下面內容覆寫HOSTS檔案內容：

#
#

127.0.0.1 localhost

產生隨機IP位址，嘗試利用某些TCP port和弱點來感染系統：

TCP port 135，DCOM RPC弱點
TCP port 80， to exploit the 弱點
TCP port 445， to exploit the 弱點
TCP port 445，Locator service弱點

在隨機 TCP port上執行HTTP伺服器，以便讓有弱點的電腦連上後，可以下載和執行作為蠕蟲的Wkspatch.exe程式。

如果受感染的是日文電腦，在

IIS Virtual Roots

和

%Windir%\Help\\IISHelp\common

資料夾中，尋找有下面副檔名的檔案：

.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp

用下面檔案內容覆寫找到的檔案：
如果受感的電腦作業系統為中文版、韓文版或英文版，蠕蟲會從Windows Update下載修補程式：

download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
/WindowsXP-KB828035-x86-CHS.exe

download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
/WindowsXP-KB828035-x86-KOR.exe

download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
/WindowsXP-KB828035-x86-ENU.exe

download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
/Windows2000-KB828749-x86-CHS.exe

download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
/Windows2000-KB828749-x86-KOR.exe

download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
/Windows2000-KB828749-x86-ENU.exe

安裝修補程式，重新啟動電腦。
蠕蟲會在 2004/6/1或執行的120天後自我終結。

四、移除方法

(一)、移除工具：

http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001111912274039?OpenDocument&src=sec_doc_nam

(二)、手動移除：

1、如果使用 Windows Me 或 Windows XP，請關閉系統還原功能；如果不會關閉，請參考下面文章：

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001012513122239?OpenDocument&src=sec_doc_nam

2、更新病毒碼：

3、重新啟動電腦，進入安全模式

4、掃描並刪除受感染的檔案

五、參考資料

http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
http://www.trendmicro.com/vinfo/zh-tw/virusencyclo/default5.asp?VName=WORM_NACHI.B
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B