13 lutego 2004

Worm.Win32.Welchia.b - działa do 1 czerwca 2004

Jest to robak rozprzestrzeniający się przez internet przy użyciu luki DCOM RPC w zabezpieczeniach systemów Microsoft Windows. Rozmiar szkodnika to 12 800 bajtów (kompresja UPX). Robak podejmuje próby infekowania komputerów, na których zainstalowany jest serwer Microsoft IIS 5.0, za pośrednictwem luki WebDav, a także wykrywa i usuwa szkodniki Mydoom.a oraz Mydoom.b.

Instalacja

Podczas uruchamiania robak kopiuje się z nazwą svchost.exe do folderu Windows\System\Drivers i tworzy usługę WksPatch. W rezultacie szkodnik będzie uruchamiany wraz z każdym startem systemu operacyjnego.

Nazwa wyświetlana usługi utworzonej przez robaka składa się z trzech słów wybieranych z poniższych możliwości:

  • Pierwsze słowo:
    • System
    • Security
    • Remote
    • Routing
    • Performance
    • Network
    • License
    • Internet
  • Drugie słowo:
    • Logging
    • Manager
    • Procedure
    • Accounts
    • Event
  • Trzecie słowo:
    • Provider
    • SharingMessaging
    • Client

Przykładowo nazwa usługi robaka może wyglądać następująco: Remote Accounts Client, System Logging Provider itd.

Aby oznaczyć zainfekowany komputer robak tworzy w jego pamięci unikatowy identyfikator WksPatch_Mutex.

Wykrywanie i usuwanie robaków Mydoom

Szkodnik szuka plików tworzonych przez robaki Mydoom.a oraz Mydoom.b i usuwa je:

  • Windows\System\ctfmon.dll
  • Windows\System\Explorer.exe
  • Windows\System\shimgapi.dll
  • Windows\System\TaskMon.exe

Instalacja łaty

Robak skanuje rejestr systemowy w poszukiwaniu zainstalowanych łat oraz pakietów service pack. Jeżeli nie zostanie wykryta łata usuwająca lukę DCOM RPC, szkodnik pobiera ją z witryny download.microsoft.com, instaluje i uruchamia ponownie komputer.

Rozprzestrzenianie

Robak tworzy dwa żądania, które wysyłane są do komputerów zdalnych. Pierwsze z nich wykorzystuje lukę WebDav, natomiast drugie - DCOM RPC (niemal identycznie, jak robił to robak Lovesan.

Następnie Welchia.b wybiera adres IP, wysyła żądanie ICMP i oczekuje na odpowiedź. Jeżeli zdalny komputer odpowie na żądanie, robak łączy się z nim za pośrednictwem portu 135 (identycznie jak Lovesan) lub 80 (jeżeli na atakowanym komputerze zainstalowany jest serwer IIS). Na koniec robak wysyła do atakowanego komputera pakiet, który pobiera zainfekowany kod.

Informacje dodatkowe

Robak szuka plików o następujących rozszerzeniach:

SHTML, SHTM, STM, CGI, PHP, HTML, HTM, ASP

i jeżeli zainfekowany komputer posiada zainstalowaną japońską stronę kodową, nadpisuje te pliki tekstem:

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

1 czerwca 2004 robak zatrzymuje wszystkie swoje procedury.