clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2009 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2004年2月24日 19:32

Category 2 W32.Welchia.D.Worm

発見日: 2004年2月23日 (米国時間)
最終更新日: 2004年2月23日 13:42 (米国時間)

W32.Welchia.D.Worm は、W32.Welchia.C.Worm のマイナーな亜種です。

W32.Welchia.D.Worm は、感染先のコンピュータの OS が中国語版、韓国語版、英語版の場合、マイクロソフトの Windows Update サイトから「マイクロソフト Workstation サービスのバッファオーバーラン」や「マイクロソフト メッセンジャーサービスのバッファオーバーラン」用の修正パッチをダウンロード、インストールし、その後、コンピュータを再起動しようとします。

また、W32.Welchia.D.Worm は、W32.Mydoom.A@mmW32.Mydoom.B@mmW32.HLLW.Doomjuice、および W32.HLLW.Doomjuice.B の駆除を試みます。

W32.Welchia.D.Worm は複数の脆弱性を悪用するワームです。このワームが悪用する脆弱性は以下の通りです。

  • TCP ポート 135 を使って DCOM RPCの脆弱性 (マイクロソフト セキュリティ情報 MS03-026 参照) を悪用します。このワームは特に Windows XP が稼動しているコンピュータを標的にします。
  • TCP ポート 80 を使って WebDav の脆弱性 (マイクロソフト セキュリティ情報 MS 03-007 参照) を悪用します。このワームは特に Microsoft IIS 5.0 が稼動しているコンピュータを標的にします。この脆弱性に対する攻撃は、Windows 2000 システムに影響を与えるほか、Windows NT/XP システムにも影響を与える可能性があります。
  • TCP ポート 445 を使って Workstation サービスのバッファ オーバーランの脆弱性 (マイクロソフト セキュリティ情報 MS 03-049 参照) を悪用します。
  • TCP ポート 445 を使って Locator Service の脆弱性 (マイクロソフト セキュリティ情報 MS 03-001 参照) を悪用します。このワームは、この脆弱性を悪用し、特に Windows 2000 が稼動しているコンピュータを標的にします。

さらに、W32.Welchia.D.Worm は、W32.Mydoom.A@mm が開くバックドア (ポート 3127) を利用して拡散を試みます。

%Windir%\system32\drivers\svchost.exe というファイルが存在する場合、このワームに感染している可能性があります。

W32.Welchia.D.Worm は、UPX で圧縮されています。

Symantec Security Response は現在もこの脅威の解析を進めています。さらに詳しい情報が入手次第、このページでお知らせする予定です。

種別: ワーム

影響を受けるシステム: Windows 2000, Windows XP

影響を受けないシステム: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me


  • 対応日(Intelligent Updater)*
    		•  2004/02/23(米国時間)
  • 対応日(Live UpdateTM)**
    		•  2004/02/23(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    Low Low Low

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    感染力

    technical details

    W32.Welchia.D.Worm が実行されると、次のことを行います。

    1. "WksPatch_Mutex" というミューテックスを作成することによって、メモリ上でワームが 1 度に 1 つのみ実行されるようにします。

    2. 自分自身を %System%\drivers\svchost.exe としてコピーします。

      注意:
      • %System% は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。標準では、このフォルダは C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000)、または C:\Windows\System32 (Windows XP) です。
      • システムには、正規のファイル %System%\svchost.exe が存在します。Windows XP上の svchost.exe は、このワームと同サイズです。

    3. 次のサービスを作成します。

      サービス名: WksPatch
      サービスバイナリ: %System%\drivers\svchost.exe
      サービス表示名: <%文字列 1%>< %文字列 2%>< %文字列 3%> の形式で作成されます。
      1. <%文字列 1%> は、次のいずれかになります。
        • System
        • Security
        • Remote
        • Routing
        • Performance
        • Network
        • License
        • Internet

      2. <%文字列 2%> は、次のいずれかになります。
        • Logging
        • Manager
        • Procedure
        • Accounts
        • Event

      3. <%文字列 3%> は、次のいずれかになります。
        • Provider
        • Sharing
        • Messaging
        • Client

          例えば、"Security Logging Sharing" という表示名のサービスが作成される可能性があります。

    4. "RpcPatch" という名前のサービスが存在する場合、それを削除します。

      注意: このサービスは、W32.Welchia.Worm によって作成されます。

    5. W32.Mydoom.A@mmW32.Mydoom.B@mmW32.HLLW.Doomjuice、および、W32.HLLW.Doomjuice.B が存在するかどうかをチェックします。

    6. 上記のうち、いずれかのワームの存在を発見した場合、W32.Welchia.D.Worm は、次の操作を実行することによって、それらの駆除を試みます。
      1. ワームのプロセスを停止させます。
      2. ワームに関連のあるファイルを削除し、レジストリをクリーンな状態に戻します。
      3. HOSTS ファイルを次のテキストで上書きします。

        #
        #

        127.0.0.1 localhost

    7. ランダムな IP アドレスを生成し、それらの IP アドレスに次の脆弱性を悪用するデータを送信することによって、システムへの感染を試みます。
      • DCOM RPC の脆弱性を悪用するために、ランダムな IP アドレスを使用し、TCP ポート 135 にデータを送信します。
      • WebDav の脆弱性を悪用するために、TCP ポート 80 にデータを送信します。
      • Workstation サービス の脆弱性を悪用するために、TCP ポート 445 にデータを送信します。
      • Locator service の脆弱性を悪用するために、TCP ポート 445 にデータを送信します。
      • DCOM RPC の脆弱性を悪用するために、感染先コンピュータの IP アドレスと同じ クラス B サブネット付近の IP アドレスを使用し、TCP ポート 135 にデータを送信します。

    8. ランダムに選択した TCP ポート上で HTTP サーバを実行することによって、脆弱なシステムが、このワームに感染しているコンピュータに再接続し、そのコンピュータから WksPatch.exe ファイル (ワームファイル) をダウンロードし、実行できるようにします。

    9. 感染先のコンピュータの OS が日本語版の場合、IIS の Virtual Roots および %Windir%\Help\\IISHelp\common フォルダ上で次の拡張子を持つファイルを探します。
      • .shtml
      • .shtm
      • .stm
      • .cgi
      • .php
      • .html
      • .htm
      • .asp

        注意: Virtual Roots および IIS のヘルプフォルダは、マイクロソフト社の IIS サーバの一部としてインストールされています。

    10. ステップ 9 で発見したファイルを、次の内容の .htm ファイルで上書きします。





    11. 感染先のコンピュータの OS バージョンが中国語版、韓国語版、英語版のいずれかに該当する場合、マイクロソフトの Windows Update Web サイトから次のうちいずれかの修正プログラムをダウンロードします。
      • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
        /WindowsXP-KB828035-x86-CHS.exe
      • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
        /WindowsXP-KB828035-x86-KOR.exe
      • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
        /WindowsXP-KB828035-x86-ENU.exe
      • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
        /Windows2000-KB828749-x86-CHS.exe
      • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
        /Windows2000-KB828749-x86-KOR.exe
      • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
        /Windows2000-KB828749-x86-ENU.exe

    12. 修正プログラムをインストールし、その後、コンピュータを再起動します。

    13. 2004 年 6 月 1 日、あるいは、起動後 120 日間経過するか、いずれか早い時期になると、自動的に終了します。

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    以下の手順は、Symantec AntiVirus および Norton AntiVirus 製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

    1. システムの復元機能を無効にします(Windows XP の場合)。
    2. ウイルス定義を最新版に更新します。
    3. コンピュータをセーフモード、あるいは VGA モードで再起動します。
    4. システム全体のスキャンを実行し、W32.Welchia.D.Worm として検出されたファイルをすべて削除します。

    具体的な手順については、以下のセクションをご覧ください。

    1. システムの復元オプションを無効にする (Windows Me/XP)
    Windows Me/XP をお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows Me/XP の機能の一つで、標準では有効に設定されています。この機能は、Windows がコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが _RESTORE フォルダ内に作成されている可能性があります。

    Windows は、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは _RESTORE フォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

    また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時に _RESTORE フォルダ内の脅威が検出されることがあります。

    システムの復元機能を無効にする方法については、Windows のマニュアルか、あるいは下記のドキュメントをご覧ください。

    システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455 をご覧ください。


    2. ウイルス定義を更新する
    ウイルス定義ファイルはすべて、Symantec Security Response による完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の 2 通りの方法で入手できます。
    • LiveUpdate を実行する方法。LiveUpdateTM は、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdate を通じて配布されているウイルス定義ファイルは、Symantec Security Response の完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdateTM サーバーにアップロードされます。この脅威に対応するウイルス定義が LiveUpdate を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
    • Intelligent UpdaterTM を使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTM を通じて配布しているウイルス定義ファイルは、Symantec Security Response(シマンテック・セキュリティ・レスポンス)による完全な品質保証検査を通過後、米国時間の平日(月曜日〜金曜日)に随時、更新、アップロードされています。Intelligent UpdaterTM によるウイルス定義ファイルは、Symantec Security Response の Web サイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義が Intelligent Updater を通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。

      Intelligent Updater のウイルス定義は、こちらからダウンロードいただけます。Intelligent UpdaterTM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください。

    3. コンピュータを、セーフモードまたは VGA モードで再起動する

    コンピュータをシャットダウンして電源を切ります。 少なくとも 30 秒待ってからコンピュータをセーフ・モードまたは VGA モードで再起動します。

    4. 感染ファイルを探して削除する
    1. Norton AntiVirus (NAV) を開き、すべてのファイルがスキャン対象として設定されているか確認します。
    2. システム全体のスキャンを実行します。
    3. W32.Welchia.D.Worm に感染しているファイルが検出されたら、[削除] をクリックします。