20 sierpnia 2003

Worm.Win32.Welchia - szczegółowy opis robaka

Jest to robak internetowy rozprzestrzeniający się za pośrednictwem luki DCOM RPC w systemach Windows (opis w biuletynie MS03-026). Szkodnik korzysta także z luki WebDav w serwerze Microsoft IIS 5.0 (opis w biuletynie MS03-007). Robak powstał przy użyciu środowiska programistycznego Visual C++, a jego rozmiar to około 10 KB (kompresja UPX). Welchia podróżuje w sieci pod postacią dwóch plików: dllhost.exe oraz svchost.exe.

W kodzie szkodnika zapisane są następujące teksty:

I love my wife & baby :-)
~~~ Welcome Chian~~~ 
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~ 

Instalacja

Podczas instalacji robak kopiuje się z nazwą dllhost.exe do folderu %System%\Wins i tworzy usługę WINS Client. Następnie szkodnik zmienia nazwę pliku tftpd.exe zapisanego w folderze %System%\dllcache na svchost.exe i tworzy dodatkową usługę Network Connections Sharing. W rezultacie Welchia przejmuje kontrolę nad zainfekowanym komputerem i uruchamia się wraz z każdym startem systemu operacyjnego.

Usuwanie robaka Lovesan

Welchia skanuje system w poszukiwaniu aktywnego procesu MSBLAST.EXE, a następnie zamyka go i usuwa z dysku plik MSBLAST.EXE.

Instalacja łaty przeznaczonej dla systemu Windows

Robak skanuje rejestr systemu Windows w poszukiwaniu zainstalowanych łat i dodatków service pack. Jeżeli nie zainstalowano łaty usuwającej lukę DCOM RPC, Welchia pobiera ją z internetu, instaluje i uruchamia ponownie komputer.

Rozprzestrzenianie

Welchia wykorzystuje dwie metody skanowania adresów IP. Po pierwsze wykorzystywane są wartości A i B z bieżącego adresu - w takim przypadku szkodnik rozpoczyna szukanie adresów od A.B.0.0. W drugiej metodzie wirus wybiera losowe adresy IP.

Robak tworzy dwa żądania, które następnie są wysyłane do atakowanych komputerów. Pierwsze z nich wykorzystuje lukę WebDAV, natomiast drugie - DCOM RPC (podobnie jak Lovesan).

Po znalezieniu podatnego na atak adresu IP, szkodnik wysyła do niego żądanie ICMP i czeka na odpowiedź. Jeżeli atakowany komputer odpowie, Welchia łączy się z nim poprzez port 135 (tak jak Lovesan) lub 80 (jeżeli na komputerze zainstalowano serwer IIS) i wysyła przygotowany pakiet pobierający za pośrednictwem serwera TFTP kopię szkodnika z komputera, który rozpoczął atak.

Następnie robak szuka na zainfekowanej maszynie pliku TFTPD.EXE. Jeżeli plik ten nie istnieje Welchia pobiera go i zapisuje w folderze %System%\Wins pod nazwą svchost.exe.

Informacje dodatkowe

Z początkiem roku 2004 Welchia przestaje funkcjonować i usuwa się z systemu.