||||
Symantec.com > Security Response > W32.Welchia.Worm
DIESE SEITE DRUCKEN

W32.Welchia.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 18 August 2003
Aktualisiert: 13 Februar 2007 12:10:10 PM
Auch bekannt als: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Typ: Wurm
Infektionslänge: 10.240 Byte
Betroffene Systeme: Microsoft IIS, Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0109 CAN-2003-0352


Bei Ausführung geht W32.Welchia.Worm folgendermaßen vor:
  1. Er kopiert sich selbst in folgenden Bereich:

    %System%\Wins\Dllhost.exe

    Hinweis: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Winnt\System32 (Windows 2000) oder C:\Windows\System32 (Windows XP).

  2. Er erstellt eine Kopie von %System%\Dllcache\Tftpd.exe, die %System%\Wins\svchost.exe genannt wird.

    Hinweis: Tftpd.exe ist ein legitimes Programm, das nicht bösartig ist. Daher wird es von Symantec Antivirus-Produkten nicht entdeckt.

  3. Es fügt die Unterschlüssel

    RpcPatch

    und

    RpcTftpd

    dem folgenden Registrierungsschlüssel hinzu:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

  4. Er erstellt die folgenden Dienste:

    Dienstname: RpcTftpd
    Dienstanzeigename: Network Connections Sharing (Gemeinsame Nutzung der Netzwerkverbindungen)
    Binärdatei des Dienstes: %System%\wins\svchost.exe

    Dieser Dienst wird so eingestellt, dass er manuell gestartet wird.

    Dienstname: RpcPatch
    Dienstanzeigename: WINS Client
    Binärdatei des Dienstes: %System%\wins\dllhost.exe

    Dieser Dienst wird so eingestellt, dass er automatisch gestartet wird.

  5. Er beendet den Prozess Msblast und löscht die Datei %System%\msblast.exe, die vom Wurm W32.Blaster.Worm abgelegt wird

  6. Der Wurm ermittelt die IP-Adresse des zu infizierenden Computers auf zwei verschiedene Arten. Er verwendet entweder A.B.0.0 von der IP-Adresse A.B.C.D des infizierten Computers und zählt aufwärts, oder er erstellt eine willkürliche IP-Adresse auf der Basis von einigen in den Code des Wurms integrierten Adressen.

    Nach Auswahl der Startadresse zählt er aufwärts über eine Reihe von Netzwerken der Klasse B. Wenn er zum Beispiel mit der Adresse A.B.0.0 beginnt, zählt er von dort aus weiter bis zur Adresse A.B.255.255.

  7. Der Wurm sendet eine ICMP-Echo-Anfrage (oder PING), um zu überprüfen, ob die erstellte IP-Adresse zu einem aktiven Computer im Netzwerk gehört.

  8. Sobald der Wurm einen Computer als aktiv im Netzwerk erkannt hat, sendet er entweder Daten an den TCP-Port 135, der die DCOM RPC-Schwachstelle ausnutzt, oder er sendet Daten an den TCP-Port 80, um die WebDav-Schwachstelle auszunutzen.

  9. Er erstellt eine entfernte Befehls-Shell auf dem anfälligen Host, die eine Verbindung zurück zum angreifenden Computer über einen beliebigen TCP-Port zwischen 666 und 765 herstellt, um Befehle empfangen zu können.

    Hinweis: In den meisten Fällen handelt es sich bei diesem Port aufgrund der Art, auf die sich das Thread-Modell des Wurms auf die Implementierung der C-Laufzeit-DLL von Windows auswirkt, um Port 707.

  10. Er startet den TFTP-Server auf dem angreifenden Computer und befiehlt dem anfälligen Computer, eine Verbindung zum angreifenden Computer herzustellen und die Programmdateien Dllhost.exe und Svchost.exe dort herunterzuladen. Wenn die Datei %System%\dllcache\tftpd.exe vorhanden ist, kann der Wurm die Datei svchost.exe nicht herunterladen.

  11. Er sucht die Version des Betriebssystems auf Ihrem Computer, die Service Pack-Nummer und das lokale System und versucht, eine Verbindung zum Windows Update-Server von Microsoft herzustellen und den entsprechenden Patch für die DCOM RPC-Schwachstelle herunterzuladen.

  12. Sobald die Aktualisierung heruntergeladen und ausgeführt ist, startet der Wurm den Computer neu, so dass der Patch installiert wird.

  13. Er prüft das Systemdatum des Computers. Wenn das Jahr 2004 eingestellt ist, wird der Wurm deaktiviert und entfernt sich selbst wie folgt:
    • Er löscht die Datei %System%\Wins\Dllhost.exe.
    • Er löscht die Dienste RpcPatch und RpcTftpd und entfernt die entsprechenden Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

    Der Wurm löscht die Datei %System%\Wins\Svchost.exe nicht; dabei handelt es sich um einen harmlosen Tftp-Server.
    Hinweise:
    • Der Wurm aktiviert seine Entfernungsroutine nur, wenn der Wurm im Jahr 2004 gestartet wird. Wenn der Wurm ununterbrochen seit dem Jahr 2003 läuft, wird er sich nur dann nach dem 1. Januar 2004 selbst entfernen, wenn Sie den Computer oder den Wurm von Hand neu starten.
    • Das Entfernungsprogramm für W32.Welchia.Worm arbeitet auch im Jahr 2004 einwandfrei.

Intruder Alert
Symantec hat am 19. August 2003 eine Intruder Alert 3.6 W32_Welchia_Worm Policy herausgebracht.

Norton Internet Security und Norton Internet Security Professional
Symantec hat am 20. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Welchia.Worm erkannt wird.

Symantec Client Security
Symantec hat am 20. August 2003 über LiveUpdate IDS-Signaturen veröffentlicht, mit denen eine Aktivität der Bedrohung W32.Welchia.Worm erkannt wird.

Symantec ManHunt
  • Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "Portsweep." Obwohl ManHunt die mit dieser Schwachstelle verbundene Aktivität mit der Protocol Anomaly Detection-Technologie erkennt, können Sie die benutzerdefinierte Signatur "Microsoft DCOM RPC Buffer Overflow" verwenden, die als Security Update 4 herausgebracht wurde, um eine Ausnutzung der Sicherheitslücke genau zu identifizieren.
  • Security Update 7 wurde herausgebracht, um spezifische Signaturen für W32.Welchia.Worm zu bieten, damit weitere Attribute von W32.Welchia.Worm erkannt werden können.


Symantec Gateway Security
  • Symantec hat am 18. August 2003 eine Aktualisierung für Symantec Gateway Security 1.0 veröffentlicht.
  • Die vollständige Anwendungsinspektions-Firewall-Technologie von Symantec schützt Sie vor dieser Microsoft-Sicherheitslücke und blockiert standardmäßig alle oben aufgeführten TCP-Ports. Für maximale Sicherheit blockiert die dritte Generation der vollständigen Anwendungsinspektionstechnologie intelligent das Verwenden von Tunneln für DCOM-Verkehr über HTTP-Kanäle und bietet so eine zusätzliche Schutzebene, die in den meisten Netzwerkfilter-Firewalls noch nicht vorhanden ist.

Symantec Host IDS
Symantec hat am 19. August 2003 eine Aktualisierung für Symantec Host IDS 4.1 veröffentlicht.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

  • Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
  • Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
  • Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
  • Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
  • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
  • Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
  • Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Dokument verfasst von: Frederic Perriot
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen