W32.Welchia.B.Worm

발견된 시기: 2004/02/11

최근 업데이트 시기: 2004/02/18

2004년 2월 13일 현재(미국 서부 기준), 시만텍 보안 연구소(Symantec Security Response)는 감염 비율 증가로 인해 위험 등급을 2에서 3 등급으로 상향 조정하였습니다.

W32.Welchia.B.Worm은 W32.Welchia.Worm의 변종입니다. 감염된 시스템의 운영 체제 버전이 중국어, 한국어 또는 영어 버전인 경우, 웜이 Microsoft® Windows Update Web site에서 Microsoft 워크스테인션 서비스 버퍼 오버런 및 Microsoft 메신저 서비스 버퍼 오버런 패치를 다운로드하려고 시도할 것입니다.
또한, 웜은 W32.Mydoom.A@mm 및 W32.Mydoom.B@mm 웜을 제거하려고 시도합니다.

W32.Welchia.B.Worm은 다음을 포함한 여러 가지 취약점을 이용합니다.

TCP 포트 135를 사용하는 DCOM RPC 취약점(Microsoft 보안 게시판 MS03-026에서 설명함). 특히 웜은 이 취약점을 이용하여 Windows XP 시스템을 대상으로 합니다.
TCP 포트 80을 사용하는 WebDav 취약점(Microsoft 보안 게시판 MS03-007에서 설명함). 특히 웜은 이 취약점을 이용하여 Microsoft IIS 5.0을 실행 중인 시스템을 대상으로 합니다. 웜이 이 취약점을 사용하면 Windows 2000 시스템에 영향을 미치게 되고 Windows NT/XP 시스템에 영향을 미치게 될 수도 있습니다.
TCP 포트 445를 사용하는 워크스테이션 서비스 버퍼 오버런 취약점(Microsoft 보안 게시판 MS03-049에서 설명함)
TCP 포트 445를 사용하는 Locator 서비스 취약점(Microsoft 보안 게시판 MS03-001에서 설명함). 특히 웜은 이 취약점을 이용하여 Windows 2000 시스템을 대상으로 합니다.

%Windows 폴더%\system32\drivers\svchost.exe 파일이 존재한다는 것은 감염 가능성을 나타내는 것입니다.

이 바이러스는 UPX로 압축되어 있습니다.

참고: 2004년 2월 11일자 23 또는 이상(20040211.023 또는 바이러스 정의 버전 60211w) 버전의 바이러스 정의가 이 바이러스를 탐지합니다.

시만텍 보안 연구소(Symantec™ Security Response)는 W32.Welchia.B.Worm의 감염을 제거할 수 있는 전용 제거 도구를 개발하였습니다.

다른 이름: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b

바이러스 종류: Worm

감염 길이: 12,800 bytes

영향을 받는 시스템: Windows 2000, Windows XP

영향을 받지 않는 시스템: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me

CVE 참조: CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003

바이러스 정의

바이러스 정의 (Intelligent Updater) *

2004/02/11

바이러스 정의 (LiveUpdate™) **

2004/02/11

*

Intelligent Updater 바이러스 정의는 매일 제공되며 직접 다운로드 및 설치해야 합니다.
직접 다운로드하려면 여기를 누르십시오.

**

일반적으로 LiveUpdate 바이러스 정의는 매주 목요일에 제공됩니다.
LiveUpdate 사용에 대한 지침은 여기를 누르십시오.

감염 위험도:

감염된 PC: 50 - 999
감염된 사이트: 10개 이상
지리적 확산도: 높음
위험도: 쉬움
제거 가능성: 보통

위험도

감염 위험도: 중간	피해도: 낮음	배포: 중간

피해도

페이로드 발생 조건: 해당 사항 없음
감염 증상: 해당 사항 없음
- 대량 전자 메일 발송: 해당 사항 없음
- 파일 삭제: W32.Mydoom.A@mm 및 W32.Mydoom.B@mm에 관련된 파일 삭제
- 파일 수정: 해당 사항 없음
- 시스템 불안정성 유발: 취약점에 노출된 Windows 2000 시스템은 RPC 서비스 충돌로 인해 시스템이 불안정
- 개인 정보 유출: 해당 사항 없음
- 보안 설정 손상: 해당 사항 없음

배포

전자 메일 제목: 해당 사항 없음
첨부 파일 이름: 해당 사항 없음
첨부 파일 크기: 해당 사항 없음
첨부 파일 시간 기록 (time stamp): 해당 사항 없음
포트: TCP 80, 135, 445
공유 드라이브: 해당 사항 없음
감염 대상: 해당 사항 없음

W32.Welchia.B.Worm이 실행될 때, 다음과 같은 현상이 발생합니다.

"WksPatch_Mutex"라는 이름으로 된 뮤텍스를 만듭니다. 이 뮤텍스는 메모리에서 웜이 한 번만 실행되도록 합니다.

자신을 %시스템 폴더%\drivers\svchost.exe로 복사합니다.

참고:

%시스템 폴더% 은 변수입니다. 웜은 System 폴더의 위치를 파악하고 그곳에 자신을 복제해 놓습니다. 기본적으로 Windows 95/98/Me는 C:\Windows\System, Windows NT/2000은 C:\Winnt\System32 또는 Windows XP는 C:\Windows\System32입니다.
합법적인 시스템 파일인 %시스템 폴더%\svchost.exe가 있는데, 이 파일에는 Windows XP 시스템에 있는 웜과 동일한 크기의 파일이 있습니다.

다음과 같은 서비스를 만듭니다.

서비스 이름: WksPatch
서비스 바이너리: %System%\drivers\svchost.exe
서비스 디스플레이 이름: %string1% %string2% %string3% 형식으로 만들어지는데, 여기에서

%string1%은(는) 다음 중 하나입니다.
- System
- Security
- Remote
- Routing
- Performance
- Network
- License
- Internet
%string2%은(는) 다음 중 하나입니다.
- Logging
- Manager
- Procedure
- Accounts
- Event
그리고 %string3%은(는) 다음 중 하나입니다.
- Provider
- Sharing
- Messaging
- Client
  
  예를 들어, 서비스 디스플레이 이름이 "Security Logging Sharing"이 될 수 있습니다.

"RpcPatch"라는 서비스가 있으면, 이 서비스를 삭제합니다.

참고: W32.Welchia.Worm이 이 서비스를 만듭니다.
다음과 같은 레지스트리 키를 찾아 W32.Mydoom.A@mm 및 W32.Mydoom.B@mm 웜이 있는지 확인합니다.
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
5 단계에서 언급한 키가 하나라도 있으면, W32.Mydoom.A@mm 및 W32.Mydoom.B@mm 웜을 제거하려고 시도합니다. 웜을 다음을 수행함으로써 웜을 제거하려고 합니다.
1. 다음 파일을 삭제합니다.
  - %System%\ctfmon.dll
  - %System%\Explorer.exe
  - %System%\shimgapi.dll
  - %System%\TaskMon.exe
2. 다음 레지스트리 키에서 "Taskmon" 값을 삭제합니다.
  - HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. 다음 레지스트리 키에
  
  HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
  
  다음 값을 복원합니다.
  
  "@"="%SystemRoot%\System32\webcheck.dll"
4. 다음 텍스트로 HOSTS 파일을 덮어 씁니다.
  
  #
  #
  
  127.0.0.1 localhost
임의 IP 주소를 생성하고, 취약점 데이터를 IP 주소에 전송하고, 시스템을 감염시키려고 시도하면서:
- TCP 포트 135에 데이터를 전송하여 DCOM RPC 취약점을 이용합니다.
- TCP 포트 80에 데이터를 전송하여 WebDav 취약점을 이용합니다.
- TCP 포트 445에 데이터를 전송하여 Workstation Service 취약점을 이용합니다.
- TCP 포트 445에 데이터를 전송하여 Locator 서비스 취약점을 이용합니다.
취약한 시스템이 감염된 시스템에 다시 연결할 수 있도록 임의 TCP 포트에서 HTTP 서버를 실행한 다음, WksPatch.exe와 같이 웜을 로컬로 다운로드하고 실행합니다.
감염된 시스템의 운영 체제 버전이 일본어 버전인 경우, 다음 확장자가 있는 IIS Virtual Roots 및 %Windows 폴더%\Help\\IISHelp\common 폴더에 있는 파일을 검색합니다.
- .shtml
- .shtm
- .stm
- .cgi
- .php
- .html
- .htm
- .asp
  
  참고: Virtual Roots 및 IIS Help 폴더는 Microsoft의 Internet Information Services 서버의 일부로 설치됩니다.
찾은 파일을 다음 .htm 파일로 덮어 씁니다.
감염된 시스템의 운영 체제 버전이 중국어, 한국어 또는 영어 버전인 경우, Microsoft의 Windows Update Web site에서 다음 패치 중 하나를 다운로드합니다.
- download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe
- download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe
- download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe
- download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe
- download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe
- download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe
패치를 설치한 후, 시스템을 다시 시작합니다.
웜은 2004년 6월 1일 또는 실행 후 120일 중에서, 먼저 발생하는 날에 자체적으로 종료할 것입니다.

시만텍 보안 연구소는 모든 사용자 및 관리자가 다음 기본 보안을 "최상의 성능"을 준수하도록 권장합니다.

필요하지 않은 서비스는 끄고 제거하십시오. 기본 설정으로, 많은 운영 체제는 FTP 클라이언트, 텔넷 및 웹 브라우저와 같이 중요하지 않은 추가 서비스를 설치합니다. 이러한 서비스는 공격에 취약합니다. 이들 서비스가 제거되면 혼합된 위협의 가능성이 줄어들고 패치 업데이트를 통해 유지 보수해야 하는 서비스가 줄어들게 됩니다.

혼합된 위험이 여러개의 네트워크 서비스를 이용하는 경우, 패치를 적용할 때까지 이들 서비스의 실행을 중지하거나 액세스를 차단하십시오.

특히 HTTP, FTP, 메일 및 DNS 서비스와 같은 공용 서비스를 호스트 연결하고 방화벽을 통해 액세스할 수 있는 시스템의 패치 수준을 최신으로 유지하십시오.

암호 정책을 실행하십시오. 복잡한 암호를 사용하면 감염된 시스템에서 암호 파일의 파괴가 어려워 집니다. 이렇게 하면 시스템이 감염되었을 때 손상을 방지 또는 제한하는 데 도움이 됩니다.

.vbs, .bat, .exe, .pif and .scr 파일과 같이 바이러스를 확산하는 데 일반적으로 사용되는 첨부 파일을 포함하는 전자 메일을 차단하거나 제거하도록 전자 메일 서버를 설정하십시오.

감염된 시스템을 즉시 분리시키면 이후에 사용자 조직의 손상을 방지합니다. 논리적인 분석을 수행하고 신뢰받는 미디어를 사용하는 시스템을 저장하십시오.

내용이 예상되는 첨부 파일이 아닌 경우, 직원들이 이러한 파일을 열지 않도록 하십시오. 또한 바이러스 검사를 완료하지 않은 경우, 인터넷에서 다운로드한 소프트웨어를 사용하지 마십시오. 특정 브라우저 취약성이 보안되지 않은 경우, 손상된 웹 사이트를 방문하는 것 만으로 감염을 유발할 수 있습니다.

시만텍 보안 연구소(Security Response)에서는 W32.Welchia.B.Worm을 제거할 수 있는 전용 제거 도구를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.

수동 제거 방법
제거 도구를 사용하지 않고 수동으로 제거할 수도 있습니다. 다음 단계를 지시에 맞게 따르십시오.

이 지침은 Symantec AntiVirus 및 Norton AntiVirus 제품군을 포함한 모든 시만텍 바이러스 방지 제품에 해당됩니다.

Windows XP 시스템 복원 기능 중지
바이러스 정의 업데이트
레지스트리에 추가된 값을 제거 및 시스템 재 시작
전체 시스템 검사를 실행하고 W32.Welchia.B.Worm로 탐지된 모든 파일을 삭제하십시오.

각 단계의 자세한 내용은 다음을 참조하십시오.

1. 시스템 복원 기능 중지 (Windows XP)
Windows XP를 사용하는 경우, [시스템 복원]기능 잠시 중지할 것을 권장합니다. 이 기능은 기본값으로 활성화되어 있으며 파일이 손상된 경우 Windows에서 이 파일을 복원하는 데 사용됩니다. 바이러스, 웜, 또는 트로이 목마 감염을 치료한 후, [시스템 복원] 기능이 이를 다시 복원 시킬 수도 있습니다.

Windows는 바이러스 방지 프로그램을 포함한 외부의 프로그램이 [시스템 복원]을 변경하는 것을 방지합니다. 그러므로, 바이러스 방지 프로그램은 [시스템 복원]폴더에 있는 위해한 프로그램을 삭제할 수 없습니다. 이로 인해, [시스템 복원]은 바이러스 감염 치료후, 감염된 파일을 시스템에 다시 복구할 가능성이 있습니다.

또한, 웜을 제거한 이후에도 바이러스 검사에서 시스템 복원 폴더에 있는 웜을 탐지할 수도 있습니다.

[시스템 복원]기능을 중지하는 방법에 관한 설명은 다음 문서를 참조하십시오.

Windows XP 시스템 복원을 실행 중지하거나 실행하는 방법

2. 바이러스 정의 업데이트
모든 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response)의 철저한 테스트를 거친 후 서버를 통해 제공됩니다. 최신 바이러스 정의를 얻을 수 있는 두 가지 방법은 다음과 같습니다.

LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.

Intelligent Updater 바이러스 정의는 여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.

3. 시스템을 안전 모드로 다시 시작

시스템을 종료하고 전원을 끄십시오. 최소한 30초 이상 기다린 후, 시스템을 안전 모드 또는 VGA 모드로 시작하십시오.

Windows 2000/XP: 시스템을 안전 모드로 다시 시작하십시오. 자세한 내용은 시만텍 기술 자료 시스템을 안전모드로 시작하는 방법을 참조하십시오.

4. 감염 파일 검사 및 삭제

시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
- Norton AntiVirus 개인 사용자용 제품군: Norton AntiVirus에서 모든 파일 검사하는 방법을 참조하십시오.
- Symantec Enterprise 안티바이러스 제품군: 다음 문서 시만텍 기업용 안티바이러스 제품에서 모든 파일 검사하는 방법를 참조하십시오.
전체 시스템 검사를 실행하십시오.
W32.Welchia.B.Worm에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.

작성자: Yana Liu