はてな
Yahoo
Google
Livedoor
Twitter
Facebook
- 発見日:
- 2003 年 8 月 18 日
- 更新日:
- 2007 年 2 月 13 日 12:12:17 PM
- 別名:
- W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
- 種別:
- Worm
- 感染サイズ:
- 10,240バイト
- 影響を受けるシステム:
- Microsoft IIS, Windows 2000, Windows XP
- CVE 識別番号:
- CAN-2003-0109 CAN-2003-0352
Symantec Security Response は、W32.Welchia.Worm の感染を除去する駆除ツールを開発しました。
お知らせ: 初心者ユーザーの方は、FixWelch.exe を使用してW32.Welchia.Wormを駆除する方法 をご覧頂くことで、W32.Welchia.Worm の駆除をより簡単に行うことができます。また、印刷用の駆除手順書(PDFファイル)を用意しました。
印刷用の駆除手順書(PDFファイル):
お客様からの報告件数の増加を受け、Symantec Security Response は2003年8月18日18:00(米国時間)、W32.Welchia.Wormの危険度を3から4に引き上げました。
W32.Welchia.Wormは次の2つの脆弱性を悪用するワームです。
- TCPポート135を使ってDCOM RPCの脆弱性(マイクロソフトセキュリティ情報MS03-026参照)を悪用します。このワームは特にWindows XPが稼動しているコンピュータを標的にします。
- TCPポート80を使ってWebDavの脆弱性(マイクロソフトセキュリティ情報MS03-007参照) を悪用します。このワームは特にMicrosoft IIS 5.0が稼動しているコンピュータを標的にします。
W32.Welchia.Worm は、次のことを行います。
- マイクロソフトのWindows Update WebサイトからDCOM RPC用の修正パッチをダウンロードしてインストールし、その後、コンピュータを再起動しようとします。
- ICMPエコーまたはPINGを送信することによって、現在動作中のコンピュータを探して感染するため、このワームの動作中はICMPトラフィックが増大します。
- W32.Blaster.Wormを削除しようとします。
ウイルス対策日
- Rapid Release 初回バージョン2003 年 8 月 18 日
- Rapid Release 最新バージョン2012 年 5 月 7 日 リビジョン021
- Daily Certified 初回バージョン2003 年 8 月 18 日
- Daily Certified 最新バージョン2012 年 5 月 7 日 リビジョン022
- Weekly Certified 初回リリース日2003 年 8 月 18 日
Rapid Release と Daily Certified のウイルス定義について詳しくは、ここをクリックしてください。
危険性の評価
被害状況
- 被害レベル:Low
- 感染台数:More than 1000
- 感染報告数:More than 10
- 地域危険度:High
- 対処レベル:Moderate
- 駆除:Moderate
ダメージ
- ダメージレベル:Medium
- ファイル削除:msblast.exeを削除する
- システムの不安定化:脆弱なWindows 2000コンピュータに感染した場合、RPCサービスの異常終了が原因でがシステムが不安定になる
- 不正アクセス:すべての感染先コンピュータにTFTPサーバーをインストールする
感染力
- 感染力レベル:Medium
- ポート:TCP 135(RPC DCOM), TCP 80(WebDav)
記述:Frederic Perriot
