W32.Welchia.Worm的基本信息
发布网友
发布时间:2024-09-27 04:44
共1个回答
热心网友
时间:2分钟前
发现:2003 年 8 月 18 日
更新:2007 年 2 月 13 日 12:09:43 PM
别名:W32/Welchia.worm10240 [AhnLab],W32/Nachi.worm [McAfee],WORM_MSBLAST.D [Trend],Lovsan.D [F-Secure],W32/Nachi-A [Sophos],Win32.Nachi.A [CA],Worm.Win32.Welchia [Kaspersky]
类型: Worm
感染长度:10,240 bytes
受感染的系统:Microsoft ⅡS,Windows 2000,Windows XP
CVE 参考:CAN-2003-0109 CAN-2003-0352
由于提报的件数日渐增加,“赛门铁克安全机制应变中心“自 2003 年 8 月 18 日星期一下午 6 时起已将 W32.Welchia.Worm 的威胁等级提高为第 4 级。
W32.Welchia.Worm 是一只会探测多种漏洞的蠕虫:
* 使用 TCP 埠号 135 来探测 DCOM RPC 漏洞 (如 Microsoft Security Bulletin MS03-026 所述)。此蠕虫会利用这种探测机制,锁定 Windows XP 机器为攻击目标。
* 使用 TCP 埠号 80 来探测 WebDav 漏洞 (如 Microsoft Security Bulletin MS03-007 所述)。此蠕虫会利用这种探测机制,锁定运行 Microsoft ⅡS 5.0 的机器为攻击目标。
W32.Welchia.Worm 运行时会运行下列动作:
* 此蠕虫会试图从Microsoft 的 Windows Update 网站下载 DCOM RPC 的更新文件,加以安装之后再重新启动计算机。
* 此蠕虫会藉由传送 ICMP 响应或 PING 来检查启动中的机器以进行感染,导致 ICMP 流量增加。
* 此蠕虫也会试图移除 W32.Blaster.Worm。
赛门铁克安全响应中心已经创建了用来杀除 W32.Welchia.Worm 的工具。单击这里获取该工具。
防护
* 病毒定义(每周 LiveUpdate™) 2003 年 8 月 18 日
* 病毒定义(智能更新程序) 2003 年 8 月 18 日
威胁评估
广度
* 广度级别:Low
* 感染数量:More than 1000
* 站点数量:More than 10
* 地理位置分布:High
* 威胁抑制:Moderate
* 清除:Moderate
损坏
* 损坏级别:Medium
* 删除文件:Deletes msblast.exe.
* 导致系统不稳定:Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
* 危及安全设置:Installs a TFTP server on all the infected machines.
分发
* 分发级别:Medium
* 端口:TCP 135(RPC DCOM),TCP 80(WebDav)
