||||
Symantec.com > Security Response > W32.Welchia.B.Worm
DIESE SEITE DRUCKEN

W32.Welchia.B.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 11 Februar 2004
Aktualisiert: 13 Februar 2007 12:21:20 PM
Auch bekannt als: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Typ: Wurm
Infektionslänge: 12.800 Byte
Betroffene Systeme: Windows 2000, Windows XP


Bei Ausführung geht W32.Welchia.B.Worm folgendermaßen vor:
  1. Er erzeugt eine Mutex mit dem Namen "WksPatch_Mutex." Durch diese Mutex kann nur eine Instanz des Wurms im Speicher ausgeführt werden.

  2. Er kopiert sich selbst als %System%\drivers\svchost.exe.

    Hinweise:
    • %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
    • In Windows XP-Systemen gibt es eine legitime Systemdatei %System%\svchost.exe, die dieselbe Dateigröße wie die Wurmdatei hat.

  3. Er erstellt den folgenden Dienst:

    Dienstname: WksPatch
    Binärdatei des Dienstes: %System%\drivers\svchost.exe
    Anzeigename des Dienstes: Dieser wird nach dem Schema %Zeichenfolge1% %Zeichenfolge2% %Zeichenfolge3% gebildet, wobei
    1. %Zeichenfolge1% eine der folgenden sein kann:
      • System
      • Security
      • Remote
      • Routing
      • Performance
      • Network
      • License
      • Internet
    2. %Zeichenfolge2% kann eine der folgenden sein:
      • Logging
      • Manager
      • Procedure
      • Accounts
      • Event

    3. %Zeichenfolge3% kann eine der folgenden sein:
      • Provider
      • Sharing
      • Messaging
      • Client

        Der Anzeigename des Dienstes kann also z. B. "Security Logging Sharing" lauten.

  4. Er löscht den Dienst namens "RpcPatch", falls vorhanden.

    Hinweis: W32.Welchia.Worm hat diesen Dienst erstellt.

  5. Der Wurm prüft nach, ob die Würmer W32.Mydoom.A@mm und W32.Mydoom.B@mm vorhanden sind, indem er die folgenden Registrierungsschlüssel sucht:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version

  6. Er versucht, die Würmer W32.Mydoom.A@mm und W32.Mydoom.B@mm zu entfernen, wenn einer der in Schritt 5 genannten Schlüssel vorhanden ist. Dabei geht der Wurm folgendermaßen vor:
    1. Er löscht die folgenden Dateien:
      • %System%\ctfmon.dll
      • %System%\Explorer.exe
      • %System%\shimgapi.dll
      • %System%\TaskMon.exe

    2. Er löscht den Wert "Taskmon" aus den folgenden Registrierungsschlüsseln:
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\Run
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\
        CurrentVersion\Run

    3. Er stellt den Wert

      "@"="%SystemRoot%\System32\webcheck.dll"

      in folgendem Registrierungsschlüssel wieder her:

      HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
      \InProcServer32
    4. Er überschreibt die HOSTS-Datei mit dem folgenden Text:

      #
      #

      127.0.0.1 localhost

  7. Er erstellt willkürliche IP-Adressen und sendet Angriffsdaten an diese IP-Adressen, wobei er versucht, Systeme zu infizieren:
    • Er sendet Daten an den TCP-Port 135, um die DCOM RPC-Sicherheitslücke auszunutzen.
    • Er sendet Daten an den TCP-Port 80, um die WebDav-Sicherheitslücke auszunutzen.
    • Er sendet Daten an den TCP-Port 445, um die Sicherheitslücke im Arbeitsstationsdienst auszunutzen.
    • Er sendet Daten an den TCP-Port 445, um die Locator-Dienst-Sicherheitslücke auszunutzen.

  8. Er führt einen HTTP-Server auf einem willkürlichen TCP-Port aus, so dass die anfälligen Computer eine Verbindung mit dem infizierten Computer herstellen können. Anschließend wird der Wurm als WksPatch.exe lokal heruntergeladen und ausgeführt.

  9. Er sucht nach Dateien mit den folgenden Erweiterungen in den virtuellen Stammverzeichnissen des IIS und in den Ordnern %Windir%\Help\\IISHelp\common, wenn auf dem infizierten Computer ein japanisches Betriebssystem installiert ist:
    • .shtml
    • .shtm
    • .stm
    • .cgi
    • .php
    • .html
    • .htm
    • .asp

      Hinweis: Die virtuellen Stammverzeichnisse und die IIS-Hilfe-Ordner werden als Teil von Microsofts Internet-Informationsdienste-Server installiert.

  10. Er überschreibt die Dateien, die er in der folgenden .htm-Datei findet:





  11. Er lädt einen der folgenden Patches von der Microsoft Windows Update-Website herunter, wenn auf dem infizierten Computer ein chinesisches, koreanisches oder englisches Betriebssystem installiert ist:
    • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
      /WindowsXP-KB828035-x86-CHS.exe
    • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
      /WindowsXP-KB828035-x86-KOR.exe
    • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
      /WindowsXP-KB828035-x86-ENU.exe
    • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
      /Windows2000-KB828749-x86-CHS.exe
    • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
      /Windows2000-KB828749-x86-KOR.exe
    • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
      /Windows2000-KB828749-x86-ENU.exe

      Hinweis: Vor dem Herunterladen eines Patches prüft der Wurm, ob der Patch bereits angewendet wurde. In diesem Fall wird er nicht heruntergeladen. Wenn er noch nicht angewendet wurde, versucht der Wurm zunächst, den Patch als normalen Prozess und anschließend als Dienst herunterzuladen. Schlägt das Herunterladen fehl, unternimmt der Wurm keinen weiteren Downloadversuch. Wenn das Herunterladen erfolgreich verlief, löscht der Wurm die Patchdatei nach Ausführung.

  12. Er installiert den Patch und startet den Computer dann neu.

  13. Der Wurm deaktiviert sich selbst am 1. Juni 2004 oder nachdem er für 120 Tage ausgeführt wurde, je nachdem, welcher Zeitpunkt früher eintritt.


Symantec Client Security
  • Antivirus-Komponente: Eine Aktualisierung für den Symantec Client Security AntiVirus-Engine, die Schutz gegen W32.Welchia.B.Worm bietet, steht seit 11. Februar 2004 per LiveUpdate zur Verfügung (siehe oben).
  • Symantec Client Firewall: Symantec Client Firewall wird mit den Standardregeln "High: Block everything until you allow it." ausgeliefert. Sie setzen den Anwender vom Versuch der Verbindungsaufnahme durch die Hintertür in Kenntnis und fragen den Anwender, ob er über eine Regel den Verbindungsversuch des Wurms gestatten, sperren oder die Regel anpassen möchte.

Symantec Gateway Security 1.0
Am 18. Februar 2004 wurde eine Aktualisierung für die Symantec Gateway Security IDS/IPS-Engine herausgebracht, die Ihr System vor W32.Welchia.B.Worm schützt. Symantec Gateway Security-Administratoren sollten LiveUpdate ausführen, um gegen diese Bedrohung geschützt zu sein. Weitere Informationen finden Sie im Symantec Gateway Security 1.0 Security Update 11 (englischsprachig).

Symantec Gateway Security 2.0
Am 18. Februar 2004 wurde eine Aktualisierung für die Symantec Gateway Security IDS/IPS-Engine herausgebracht, die Ihr System vor W32.Welchia.B.Worm schützt. Symantec Gateway Security-Administratoren sollten LiveUpdate ausführen, um gegen diese Bedrohung geschützt zu sein. Weitere Informationen finden Sie im Symantec Gateway Security 2.0 Security Update 7 (englischsprachig).

Symantec HIDS 4.1.1
Symantec hat am 17. Februar 2004 ein LiveUpdate-Paket für Benutzer von Symantec HIDS 4.1.1 herausgebracht. Weitere Informationen finden Sie im Symantec Host IDS 4.1.1 Security Update 3 (englischsprachig).

Symantec ManHunt
  • RPC DCOM
Dieser Vektor wird durch die angepasste Signatur MS RPC DCOM HEAP Overflow erkannt, die im Rahmen des Security Update 11 veröffentlicht wurde.
  • SMB Workstation
Dieser Vektor wird durch die angepasste Signatur SMB Workstation Service Overflow erkannt, die im Rahmen des Security Update 12 veröffentlicht wurde.
  • HTTP WebDAV
Die Symantec ManHunt Protocol Anomaly Detection-Technologie erkennt die mit dieser Schwachstelle verbundene Aktivität als "HTTP Malformed URL (HTTP_BAD_REQURL5)". In Security Update 20 wurde eine Ereignisverfeinerungsregel herausgegeben, um dies speziell als "HTTP IIS Welchia WebDAV SEARCH BO" kenntlich zu machen.
  • Locator Overflow
Dieser Vektor wird durch die angepasste Signatur MS NETBIOS Locator Service Buffer Overflow erkannt, die im Rahmen des Security Update 20 veröffentlicht wurde.


Intruder Alert
Symantec hat die Intruder Alert 3.6 W32_Welchia_B_Worm Policy herausgebracht.


Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

  • Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
  • Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
  • Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
  • Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
  • Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
  • Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
  • Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Dokument verfasst von: Yana Liu
Bis zu 20 € sparen mit einem zweijährigen Abonnement.
©1995 - 2009 Symantec Corporation
Wegweiser|
Rechtliche Hinweise|
Impressum|
Datenschutz|
Kontakt|
Weltweit|
Lizenzvereinbarungen