Újabb változat a Mydoomot kiirtó féregvírusból

A féreg paraméterei

Felfedezésének ideje: 2004. február 15.
Utolsó frissítés ideje: 2004. február 15.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.800 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Általános tudnivalók

A Welchia féreg eredeti változata a Blaster kiirtására született meg. Terjedése nem e-mailen, hanem két sérülékenység (a tavaly júliusban bejelentett RPC-hiba és a tavaly márciusi WebDav-hiba) kihasználásával történt. Az új verzió immáron a Mydoom két változatának megsemmisítésével foglalkozik; szaporodásához a fent említett két biztonsági hiányosság mellett még a ˝Workstation service buffer overrun˝ névre hallgató sebezhetőséget is felhasználja. Ezenfelül a Windows 2000 rendszerekbe való behatoláshoz a ˝Locator service vulnerability˝ sérülékenységet is kiaknázza.

Aktiválódása esetén lezajló események

– létrehozza a WksPatch_Mutex nevű mutexet, hogy megelőzze a memóriába való többszöri betöltődését
– felmásolja magát a System könyvtárban található drives mappába svchost.exe néven
– létrehozza a következő service-t:
Név: WksPatch
Binary: [System elérési útvonala]/drives/svchost.exe
Kijelzett név: az alábbi sztringekből áll össze:
. System, Security, Remote, Routing, Performance, Network, License, Internet
. Logging, Manager, Procedure, Accounts, Event
. Provider, Sharing, Messaging, Client;
tehát például a System Manager Client service a task managerben a Welchia B változatának jelenlétére utal
– letörli az PrcPatch service-t, ha létezik
– leellenőrzi, hogy a rendszer megfertőzödött-e a Mydoom A vagy B változatával; a következő Regisry kulcsok keresésével:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– megkísérli eltávolítani a fertőzött rendszerből a Mydoom féreg A és B változatát a következők végrehajtásával:
. letörli a System könyvtárból a ctfmon.dll, a Explorer.exe, a shimgapi.dll és a TaskMon.exe állományokat
. letörli a Taskmon értékét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból
. a HKEY_LOCAL_MACHINE/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcsban visszaállítja a következő bejegyzést: @=[SystemRoot]/System32/webcheck.dll

– felülírja a HOSTS file-okat a következő szöveggel:

#
#

127.0.0.1 localhost
– a 135-ös TCP porton keresztül az RPC-hiba kihasználásával behatol egy távoli a rendszerbe, illetve a 80-as TCP porton át a WebDav sérülékenységet) kiaknázva képes bejutni oda; ezenfelül a 445-ös TCP porton keresztül megpróbálja a Workstation service buffer overrun és a Locator service vulnerability hibákat kiaknázni
– egy véletlenszerűen választott TCP porton webszervert indít, ahonnan a sebezhető rendszerek letölthetik a WksPatch.exe állományt
– a Virtual Roots és az IIS Help könyvtárakban (amennyiben az adott számítógép kódlapja japán) a következő kiterjesztéssel bíró file-ok után keres: .shtml, .shtm, .stm, .cgi, .php, .html, .htm, .asp
– felülírja ezeket a jobb oldalon látható .html állománnyal
– A Microsoft Windows Update weboldaláról (amennyiben a fertőzött rendszer kínai, koreai vagy angol) letölti a megfelelő javítást, és fel is telepíti
– amint ez rendben lezajlott, a férg újraindítja a számítógépet, így a telepítés véglegessé válik
– időnként leellenőrzi a rendszerdátumot; ha az 2004. június 1-e vagy annál későbbi, illetve ha már legalább 120 napja fut a rendszerben, akkor a féreg letiltja a működését és letörli magát a rendszerből