A féreg paraméterei
Felfedezésének ideje: 2003. augusztus 18.
Utolsó frissítés ideje: 2003. augusztus 19.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 10.240 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Általános tudnivalók
A Welchia féreg valóban a Blaster kiírtására született meg. Terjedése nem e-mailen, hanem két sérülékenység (az egy hónapja bejelentett RPC-hiba és a márciusi WebDav-hiba) kihasználásával történik. A Symantec kiadott egy Eltávolító Eszközt, amivel ezt a férget lehet a rendszerből eltüntetni – bár idővel automatikusan megsemmisíti magát a féreg.
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárban található Wins mappába Dllhost.exe néven
– a System könyvtárban levő Dllcache mappában elhelyezkedő Tftpd.exe file-ról készít egy másolatot a fenti könyvtárba, svchost.exe néven (ebből következően ez a file nem is fertőző)
– létrehozza a következő service-okat:
Service neve: RpcTftpd
Service kijelzett neve: Network Connections Sharing
Service Binary: [System elérési útvonala]/wins/svchost.exe
(ezt manuálisan kell elindítani)
Service neve: RpcPatch
Service kijelzett neve: WINS Client
Service Binary: [System elérési útvonala]/wins/dllhost.exe
(ez automatikusan elindul)
– lezárja az Msblast process-t, és letörli a System könyvtárból az msblast.exe állományt, amit a W32.Blaster.Worm féreg másolt fel
– a féreg a célpont IP-címét két különböző módszerrel választja ki:
. az IP-cím második két jegyét 0.0-ról indítva ˝végigpörgeti˝, a feltárt rendszer címtartományát alapul véve
. néhány, előre lekódolt címen alapuló, véletlenszerű IP-címet hoz létre, melyeket szintén végignéz (x.y.0.0-tól x.y.255.255-ig)
– a féreg elküld egy ICMP echo-t vagy egy pinget, hogy megnézze, a létrehozott címen található-e számítógép
– amennyiben talál, akkor a 135-ös TCP porton keresztül az RPC-hiba kihasználásával behatol a rendszerbe, illetve a 80-as TCP porton át a WebDav sérülékenységet) kiaknázva képes bejutni
– létrehoz egy távoli shellt a sérülékeny hoston, aminek révén vissza tud csatlakozni az eredeti számítógéphez (egy 666 és 765 közé eső, véletlenszerűen választott TPC porton át)
– elindítja a támadó gépen a TFTP-szervert, majd a célpont számítógéppel letölteti a Dllhost.exe és az Svchost.exe file-okat; kivéve, ha a célpont rendszerben (/System/dllcache/) megtalálható a tftpd.exe
– leellenőrzi a számítógépen levő operációs rendszer verziószámát, az esetlegesen feltelepített Service Pack számát, majd megkísérel a Microsoft Windows Update-jához csatlakozni és letölteni a megfelelő RPC-hibát javító patch-et
– amint ez rendben lezajlott, a férg újraindítja a számítógépet, így a telepítés véglegessé válik
– időnként leellenőrzi a rendszerdátumot, ha az év 2004, akkor a féreg letiltja a működését és letörli magát a rendszerből