Dotkom
A Blastert kiirtó féreg új változata a Mydoom ellen is felveszi a harcot
Aki emlékszik még az előző változatra, azt tudhatja, hogy az a féreg igyekezett kipusztítani a Blastert. A mostani variáns a Mydoom A és B verzióit távolítja el a fertőzött rendszerekből.
A féreg paraméterei
Felfedezésének ideje: 2004. február 11.
Utolsó frissítés ideje: 2004. február 12.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Általános tudnivalók
A Welchia féreg eredeti változata a Blaster kiirtására született meg. Terjedése nem e-mailen, hanem két sérülékenység (a tavaly júliusban bejelentett RPC-hiba és a tavaly márciusi WebDav-hiba) kihasználásával történt. Az új verzió immáron a Mydoom két változatának megsemmisítésével foglalkozik; szaporodásához a fent említett két biztonsági hiányosság mellett még a ˝Workstation service buffer overrun˝ névre hallgató sebezhetőséget is felhasználja.
Aktiválódása esetén lezajló események
– létrehozza a WksPatch_Mutex nevű mutexet, hogy megelőzze a memóriába való többszöri betöltődését
– felmásolja magát a System könyvtárban található drives mappába svchost.exe néven
– létrehozza a következő service-t:
Név: WksPatch
Binary: [System elérési útvonala]/drives/svchost.exe
Kijelzett név: az alábbi sztringekből áll össze:
. System, Security, Remote, Routing, Performance, Network, License, Internet
. Logging, Manager, Procedure, Accounts, Event
. Provider, Sharing, Messaging, Client
tehát például a System Manager Client service a task managerben a Welchia B változatának jelenlétére utal
– megkísérli eltávolítani a fertőzött rendszerből a Mydoom féreg A és B változatát a következők végrehajtásával:
. letörli a System könyvtárból a ctfmon.dll, a Explorer.exe, a shimgapi.dll és a TaskMon.exe állományokat
. letörli a Taskmon értékét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból
. a HKEY_LOCAL_MACHINE/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcsban visszaállítja a következő bejegyzést: @=[SystemRoot]/System32/webcheck.dll
– felülírja a HOSTS file-okat a következő szöveggel:
#
#
127.0.0.1 localhost
– a 135-ös TCP porton keresztül az RPC-hiba kihasználásával behatol egy távoli a rendszerbe, illetve a 80-as TCP porton át a WebDav sérülékenységet) kiaknázva képes bejutni oda; ezenfelül a 139-es és a 445-ös TCP porton keresztül megpróbálja a Workstation service buffer overrun hibát kiaknázni
– egy véletlenszerűen választott TCP porton webszervert indít, ahonnan a sebezhető rendszerek letölthetik a WksPatch.exe állományt
– a Virtual Roots és az IIS Help könyvtárakban (amennyiben az adott számítógép kódlapja japán) a következő kiterjesztéssel bíró file-ok után keres: .shtml, .shtm, .stm, .cgi, .php, .html, .htm, .asp
– felülírja ezeket a jobb oldalon látható .html állománnyal
– A Microsoft Windows Update weboldaláról (amennyiben a fertőzött rendszer kínai, koreai vagy angol) letölti a megfelelő javítást, és fel is telepíti
– amint ez rendben lezajlott, a férg újraindítja a számítógépet, így a telepítés véglegessé válik
– időnként leellenőrzi a rendszerdátumot; ha az 2004. június 1-e vagy annál későbbi, illetve ha már legalább 180 napja fut a rendszerben, akkor a féreg letiltja a működését és letörli magát a rendszerből
