clear clear
Symantec.com logo Security Response
japan
グローバルサイト
製品とサービス
製品の購入
サポート
セキュリティ・レスポンス
ダウンロード
シマンテックについて
サーチ
フィードバック
grey


© 1995-2006 Symantec Corporation.
All rights reserved.
商標について
プライバシーポリシー
日本サイト更新日: 2004年2月27日 13:00

Category 2 W32.Welchia.Worm

発見日: 2003年8月18日 (米国時間)
最終更新日: 2003年2月26日 10:50 (米国時間)

お客様からの報告件数が減少したため、Symantec Security Response は2004年2月26日に、W32.Welchia.Wormの危険度を3から2に引き下げました。

W32.Welchia.Wormは次の2つの脆弱性を悪用するワームです。


W32.Welchia.Worm は、次のことを行います。

  • マイクロソフトのWindows Update WebサイトからDCOM RPC用の修正パッチをダウンロードしてインストールし、その後、コンピュータを再起動しようとします。
  • ICMPエコーまたはPINGを送信することによって、現在動作中のコンピュータを探して感染するため、このワームの動作中はICMPトラフィックが増大します。
  • W32.Blaster.Wormを削除しようとします。

Symantec Security Response は、W32.Welchia.Worm の感染を除去する駆除ツールを開発しました。

別名: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]

種別: ワーム

感染サイズ: 10,240バイト

影響を受けるシステム: Microsoft IIS, Windows 2000, Windows XP

影響を受けないシステム: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT

CVE識別番号: CAN-2003-0109, CAN-2003-0352


  • 対応日(Intelligent Updater)*
    		•  2003/08/18(米国時間)
  • 対応日(Live UpdateTM)**
    		•  2003/08/18(米国時間)
    * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。
    ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。
    LiveUpdateの使い方については、こちらをクリックしてください。

    threat assessment

    被害状況

    危険性評価グラフ
    Low Medium Medium

    被害状況:

    ダメージ:

    感染力:

    ダメージ

    感染力

    • ポート: TCP 135(RPC DCOM), TCP 80(WebDav)

    technical details

    W32.Welchia.Wormが実行されると、次のことを行います。

    1. 自分自身を次のファイルとしてコピーします。

      %System%\Wins\Dllhost.exe

      注意: %System%は可変です。このワームはシステムフォルダを探し出し、その場所に自分自身をコピーします。このフォルダは、標準ではC:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000)またはC:\Windows\System32 (Windows XP)です。

    2. %System%\Dllcache\Tftpd.exeのコピーを%System%\Wins\svchost.exeとして作成します。

      注意: Svchost.exeは正規のプログラムです。このプログラムは無害のため、シマンテックのウイルス対策製品では検出されません。

    3. 次の値

      RpcPatch



      RpcTftpd

      を 次のレジストリーキーに追加します。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    4. 次のサービスを作成します。

      サービス名: RpcTftpd
      サービス表示名: Network Connections Sharing
      サービスバイナリ: %System%\wins\svchost.exe

      このサービスは手動で起動するように設定されます。

      サービス名: RpcPatch
      サービス表示名: WINS Client
      サービスバイナリ: %System%\wins\dllhost.exe

      このサービスは自動的に起動するように設定されます。

    5. Msblastというサービスを停止し、W32.Blaster.Wormによって投下される%System%\msblast.exeというファイルを削除します。

    6. ワームは感染対象のIPアドレスを2通りの方法で選択します。1つは、感染先コンピュータのIPアドレスをA.B.C.Dとし、A.B.0.0から順に1ずつ増分したIPアドレスを選択してゆく方法で、もう1つはハードコード化された状態でワームに保存されているアドレスに基づいてランダムなIPアドレスを生成します。

      最初のアドレスの選択後は、Class Cサイズのネットワークの範囲に渡るアドレスを生成します(例えば、最初のアドレスがA.B.0.0の場合、少なくともA.B.255.255まで増分してゆきます)。

    7. 上記で生成したIPアドレスを持つコンピュータにICMPエコーまたはPINGを送信し、そのコンピュータがネットワーク上で動作中かどうかを確認します。

    8. ネットワーク上で動作中のコンピュータを発見すると、TCPポート135にDCOM RPCの脆弱性を悪用するデータを送信するか、あるいは、TCPポート80にWebDavの脆弱性を悪用するデータを送信します。

    9. ポート番号666〜765からランダムに選択したTCPポートを使って、攻撃側のコンピュータに接続し命令を受信するリモートシェルを脆弱なホスト上に作成します。

    10. 攻撃側のコンピュータ上でTFTPサーバーを起動し、標的側のコンピュータに対し、攻撃側のコンピュータからDllhost.exeおよびSvchost.exeをダウンロードするよう命令します。ただし、%System%\dllcache\tftpd.exeというファイルが存在する場合、ワームはsvchost.exeをダウンロードしません。

    11. コンピュータのOSバージョン、サービスパックの番号、システムロケールを調べ、マイクロソフトのWindows Updateサイトに接続し、そのコンピュータのOSバージョンに適切なDCOM RPC脆弱性用の修正パッチをダウンロードしようとします。

    12. アップデートのダウンロードと実行が終わると、ワームはコンピュータを再起動することで修正パッチのインストールを完了します。

    13. コンピュータのシステムの日付を調べ、年の値が 2004 の場合、自分自身を次のように無効化し削除します。

      • %System%\Wins\Dllhost.exe を削除します。
      • RpcPatch および RpcTftpd サービスを削除し、関連するレジストリキーを削除します:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

        ワームは、害の無い tftp サーバ "%System%\Wins\Svchost.exe"の削除は行いません。




    Intruder Alert
    2003年8月19日:Symantec は、Intruder Alert 3.6 W32_Welchia_Worm Policy(英語)をリリースしました。

    Norton Internet Security / Norton Internet Security Professional
    2003年8月20日:Symantec は、W32.Welchia.Wormの活動を検出するIDSシグネチャをLiveUpdateを通じてリリースしました。

    Symantec Client Security
    2003年8月20日:Symantec は、W32.Welchia.Wormの活動を検出するIDSシグネチャをLiveUpdateを通じてリリースしました。

    Symantec Gateway Security

    • 2003年8月18日:Symantec は、Symantec Gateway Security 1.0用のアップデートをリリースしました。
    • シマンテックのフル・アプリケーション・インスペクション方式のファイアウォール技術は、このマイクロソフトの脆弱性に対応しており、標準では、上記のすべてのTCPポートを遮断するよう設定されています。第三世代のフル・アプリケーション・インスペクション技術が、HTTPチャネルを介してトンネリングするDCOMトラフィックを感知・ブロックすることで、多くのネットワーク・フィルタリング・ファイアウォールでは実現出来ていない一段階上の防御レイヤを提供します。

    Symantec Host IDS
    2003年8月19日:Symantec は、Symantec Host IDS 4.1用のアップデートをリリースしました。

    recommendations

    Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

    • 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
    • 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
    • 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
    • パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
    • メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
    • ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
    • 従業員に対し、次のことを徹底させる。
      • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
      • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
      • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。

    removal instructions

    W32.Welchia.Worm 駆除ツールを使った方法
    Symantec Security Responseは、W32.Welchia.Worm 専用の駆除ツールを開発しました。この脅威を最も容易に駆除する方法は、このツールを実行することです。

    手動による駆除
    駆除ツールの代替方法として、この脅威を手動でも駆除することができます。以下の手順は、Symantec AntiVirusおよびNorton AntiVirus製品シリーズも含め、現在サポート対象となっているすべてのシマンテック・アンチウイルス製品のお客様を対象にして記述されています。

    1. システムの復元機能を無効にします(Windows XPの場合)。
    2. ウイルス定義を最新版に更新します。
    3. コンピュータを再起動するか、またはワームのプロセスを停止します。
    4. システム全体のスキャンを実行し、W32.Welchia.Wormとして検出されたファイルをすべて削除します。
    5. レジストリから値を削除します。
    6. Svchost.exeファイルを削除します。


    具体的な手順については、以下のセクションをご覧ください。

    1. システムの復元オプションを無効にする (Windows XP)
    Windows XPをお使いの場合は、駆除作業を行う前にシステムの復元オプションを一時的にオフにしてください。システムの復元機能は、Windows XPの機能の一つで、標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬のバックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。

    Windowsは、ウイルス対策プログラムのような外部プログラムによるシステムの復元機能の改変を防止するように設定されています。この理由により、ウイルス対策プログラムおよび駆除ツールでは_RESTOREフォルダ内に保存されている感染ファイルを削除することはできません。その結果、他のあらゆる場所から感染ファイルを削除した後でも、感染したファイルが誤って復元される可能性があります。

    また、ウイルス対策プログラムでコンピュータをスキャンしたときに感染ファイルが検出されなかった場合でも、オンラインスキャンの実行時にRestoreフォルダ内の脅威が検出されることがあります。

    システムの復元機能を無効にする方法については、Windowsのマニュアルか、あるいは下記のドキュメントをご覧ください。

    システムの復元機能についての詳細および別の無効化方法については、Microsoft Knowledge Base article :_RESTORE フォルダにウィルスが発見された場合の対応方法について ID: Q263455をご覧ください。


    2. ウイルス定義を更新する
    ウイルス定義ファイルはすべて、Symantec Security Responseによる完全品質保証テストを通過した後で弊社サーバーにアップロードされています。最新版のウイルス定義は次の2通りの方法で入手できます。
    • LiveUpdateを実行する方法。LiveUpdateTMは、ウイルス定義ファイルと製品アップデートを最も手軽に入手いただける方法です。LiveUpdateを通じて配布されているウイルス定義ファイルは、Symantec Security Responseの完全品質保証テストを通過後、危険度の高いウイルスが出現した場合を除き、通常は毎週水曜日にLiveUpdateTMサーバーにアップロードされます。この脅威に対応するウイルス定義がLiveUpdateを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(LiveUpdate)」欄の日付をご覧ください。
    • Intelligent UpdaterTMを使用してウイルス定義をダウンロードする方法。Intelligent UpdaterTMを通じて配布しているウイルス定義ファイルは、Symantec Security Response(シマンテック・セキュリティ・レスポンス)による完全な品質保証検査を通過後、米国時間の平日(月曜日〜金曜日)に随時、更新、アップロードされています。Intelligent UpdaterTMによるウイルス定義ファイルは、Symantec Security ResponseのWebサイトからダウンロードし、手動でインストールする方法でのみご利用いただけます。この脅威に対応するウイルス定義がIntelligent Updaterを通じて入手可能かどうかを判断するには、ページ上部に記載の「対応日(Intelligent Updater)」欄の日付をご覧ください。

      Intelligent Updaterのウイルス定義は、こちらからダウンロードいただけます。Intelligent UpdaterTM を使用してウイルス定義ファイルをダウンロード、インストールする方法については、こちらをクリックしてください


    3. セーフモードで再起動する/動作中のプロセスを終了させる

    Windows 95/98/Me
    コンピュータをセーフモードで再起動します。Windows NT以外のすべてのWindows 32-ビットOSはセーフモードで再起動することができます。具体的な手順については、Windows 9x または Windows Me をセーフモードで起動する方法をご覧ください。

    Windows NT/2000/XP
    ワームのプロセスを停止するには:
      1. [コントロールパネル]にある[管理ツール]をクリックし、[サービス]を開きます。
      2. 画面右側のリストをスクロールし、次の名前のサービスを探します。
        • Network Connections Sharing
        • WINS Client
      3. 上記サービスを見つけた場合、名前を選択後、右クリックし、「停止」をクリックします。
      4. [サービス]を閉じます。 


    4. 感染ファイルを探して削除する

    1. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
    2. システム全体のスキャンを実行します。
    3. W32.Welchia.Worm に感染しているファイルが検出されたら、[削除]をクリックします。


    5. レジストリから値を削除する

    注意:システムレジストリに変更を行なう際には、事前にバックアップを作成することを強くお勧めします。レジストリに不適切な変更を行なうと、データの喪失やファイルの破損など修復不可能な問題が生じる可能性があります。指定されたキーのみを修正するよう注意してください。レジストリの編集作業を始める前に必ず「レジストリのバックアップ方法」をお読みください。

    1. [スタート]ボタンを押し、[ファイル名を指定して実行]をクリックします。([ファイル名を指定して実行]ダイアログボックスが表示されます。)

    2. regeditと入力します。

      [OK]をクリックします。(レジストリ エディタが開きます。)

    3. 次のレジストリキーを選択します。

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    4. 次のサブ・キーを削除します。

      RpcPatch



      RpcTftpd

    5. レジストリエディタを終了します。

    6. Svchost.exeファイルを削除する
    %System%\Winsフォルダを探して選択し、Svchost.exeファイルを削除してください。

    改変履歴(米国時間):
    • 2004年2月26日:
      • お客様からの報告件数が減少したため、危険度を3から2に引き下げました。

    • 2003年10月8日:
      • お客様からの報告件数が減少したため、危険度を4から3に引き下げました。

    • 2003年8月26日:
      • 手動による駆除の手順を更新しました。

    • 2003年8月20日:
      • レジストリ値の削除方法を追加しました。
      • SCS IDS シグネチャのリリース情報を掲載しました。
      • NIS/NIS Pro IDS シグネチャのリリース情報を掲載しました。
      • ワームの別名を追加しました。

    • 2003年8月19日:
      • Symantec ManHuntの情報を掲載しました