2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Worm-W32/Welchia.12800.B
바이러스 종류
Worm
실행환경
Win9x, Win2000, NT
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다. *WebDAV 패치 http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp *RPC-DCOM 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp *워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 상세설명  진단/치료방법
※ 상세 설명
Worm-W32/Blaster 와 같은 NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파된다. 그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를 다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이 존재하면 삭제시도를 한다. ctfmon.dll Explorer.exe shimgapi.dll TaskMon.exe HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 windows xp의 경우 : TaskMon = c:\windows\system32\taskmon.exe window 2000의 경우 : TaskMon = c:\winnt\system32\taskmon.exe 웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers Windows Xp : c:\windows\system32\drivers)에 svchost.exe(12,800 byte)를 생성한다. svchost.exe 파일은 시스템 폴더(c:\winnt\system32)의 svchost.exe와 다른 파일이다. 또한 자신을 서비스로 등록 되어 실행할수 있게 아래의 내용이 레지스트리에 추가 된다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WksPatch HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WksPatch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WksPatch 그리고 감염 대상 시스템을 찾기 위해 ICMP 또는, PING 신호를 보내게 되며, 이 과정에서 네트웍 트래픽이 증가하게 된다. 이웜은 3가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다. 1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp) 2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp) 3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다. 그리고 윈도우즈의 코드페이지를 확인 하여 일본어 페이지라면 IIS Help 와 Virtual Roots 폴더에 .shtml,.shtm,.stm,.cgi,.php,.html,.htm,.asp 파일을 다음의 HTML 텍스트로 겹쳐쓴다. LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! 또한 시스템날짜를 체크하여 2004년 6월1일 이후에 실행되면 자신을 삭제한다.
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
W32/Bagle.11264@mm
다음글
W95/Fono