发现日期:2003 年 8 月 18 日
更新: 2007 年 2 月 13 日 12:09:38 PM
别称: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
类型: Worm
感染长度: 10,240 bytes
受影响的系统: Microsoft IIS, Windows 2000, Windows XP
由于提报的件数日渐增加,“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:
W32.Welchia.Worm 运行时会运行下列动作:
- 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
- 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
- 此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。病毒定义更新信息
-
首次快速发布版本 2003 年 8 月 18 日
-
最新快速发布版本 2008 年 8 月 20 日修订版 017
-
首次每日认证版本 2003 年 8 月 18 日
-
最新每日认证版本 2008 年 8 月 20 日修订版 016
-
2003 年 8 月 18 日
有关快速发布版本和每日认证病毒定义的详细说明,请单击。
威胁评估
分布:
-
分布广度:较低
-
受感染数: More than 1000
-
感染站点:More than 10
-
地理分布范围:较高
-
威胁防止:中等
-
删除: 中等
破坏力
-
破坏力:中度
-
删除文件: 删除 msblast.exe。
-
导致系统不稳定: 由于 RPC 服务当机,故易受威胁的Windows 2000 机器会遭遇系统不稳。
-
危及安全设置: 在所有受感染的机器上安装 TFTP 服务器。
散播
-
散播级别: 中度
-
端口: TCP 135(RPC DCOM), TCP 80(WebDav)
本文作者:Frederic Perriot
