Kezdolap  
 
   


W32/Nachi.worm

Adatlap

Felfedezés időpontja: 2003.08.18.
Eredet: Ismeretlen
Hossz: 10240 bájt
Típus: vírus
Altípus: internet programféreg
Adatbázis-verzió: 4286
Keresőmotor-verzió: 4.1.60

Leírás módosítva: 2003-08-19 13:50

Előfordulás valószínűsége

Vállalati környezet: Közepes
Egyéni felhasználók: Közepes

Jellemzők

A vírus az MS03-026 jelzésű (RPC DCOM), bizonyos esetekben az MS03-007 jelzésű (NTDLL.DLL) biztonsági hiányosságot használja ki: a távoli számítógépnek a program letöltésére és a programkód futtatására ad utasítást. Futása során leállítja és törli a W32/Lovsan.worm.a folyamatait és telepíti a Microsoft megfelelő javítócsomagját is, hogy az újabb fertőzést megakadályozza. 2004 január 1-jén a programféreg törli magát a rendszerről.

A vírusprogram a Windows könyvtárban létrehozott Wins alkönyvtárba települ:

C:\WINNT\SYSTEM32\WINS\DLLHOST.EXE (10,240 byte)

Megemlítjük, hogy Windows rendszereken a DLLHOST.EXE rendszerállomány jelenléte teljesen szokványos, bár a fájlméret csak 5-6 kilobájt.

A vírus megpróbálja SVCHOST.EXE néven a dllcache-ből a TFTPD.EXE-t az alábbi könyvtárba másolni:

C:\WINNT\SYSTEM32\WINS\SVCHOST.EXE

Ha a TFTPD.EXE nem található a megtámadott számítógépen, a másolás meghiúsul. Ez a fájl csak bizonyos operációs rendszereken része az alaprendszernek.

A vírus két szolgáltatást indít, RpcPatch (DLLHOST.EXE, WINS Client) és RpcTftpd (SVCHOST.EXE, Network Connections Sharing) néven.

A programféreg megpróbálja letölteni és telepíteni az alábbi javítócsomagokat a számítógépre:

  • http://download.microsoft.com/download/6/9/5/6957d785-fb7a-4ac9-b1e6-cb99b62f9f2a/Windows2000-KB823980-x86-KOR.exe
  • http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9d8e6/Windows2000-KB823980-x86-CHT.exe
  • http://download.microsoft.com/download/2/8/1/281c0df6-772b-42b0-9125-6858b759e977/Windows2000-KB823980-x86-CHS.exe
  • http://download.microsoft.com/download/0/1/f/01fdd40f-efc5-433d-8ad2-b4b9d42049d5/Windows2000-KB823980-x86-ENU.exe
  • http://download.microsoft.com/download/e/3/1/e31b9d29-f650-4078-8a76-3e81eb4554f6/WindowsXP-KB823980-x86-KOR.exe
  • http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b3ce8/WindowsXP-KB823980-x86-CHT.exe
  • http://download.microsoft.com/download/a/a/5/aa56d061-3a38-44af-8d48-85e42de9d2c0/WindowsXP-KB823980-x86-CHS.exe
  • http://download.microsoft.com/download/9/8/b/98bcfad8-afbc-458f-aaee-b7a52a983f01/WindowsXP-KB823980-x86-ENU.exe

Emellett megkeresi és eltávolítja a gépről a W32/Lovsan.worm.a fertőzést, az MSBLAST.EXE nyomait keresve a rendszeren. Fontos: az MSBLAST.EXÉ-re vonatkozó registry-bejegyzést nem távolítja el.

A fertőzés jelei

  • Jelentős ICMP forgalom
  • A fenti állományok és könyvtárak megjelenése

A fertőzés menete

A féreg egy Microsoft Windows biztonsági hiányosság kihasználásával terjed. A 135-ös porton keresztül megvizsgálja a helyi alhálózatot lehetséges "áldozatok" után kutatva. Egy ICMP kérést küld a potenciális cél-gépeknek, és válasz esetén elküldi a biztonsági rést kihasználó kódot. A megtámadott rendszeren egy remote shell-t hoz létre a 707-es TCP porton, majd a megtámadott gépek a vírusprogramot a TFTP segítségével letöltik.

A vírus felismerésétől függetlenül, hacsak a rendszeren nem telepítették a megfelelő javítócsomagot (MS03-026), a programféreg képes puffer-túlcsordulást okozni vírussal meg nem fertőzött számítógépeken. Kivitelezés: egy vírusos gép a helyi alhálózat címeire RPC csomagokat küld a 135-ös porton. A csomagok fogadása puffer-túlcsordulást okoz, ami leállítja az RPC szolgáltatást. (A szolgáltatás-kiesés és leállás nem feltétlenül jelent vírusfertőzést).

Eltávolítás

A fertőzött rendszereken a vírus tisztítása előtt telepíteni kell a Microsoft által kiadott javítócsomagot, ellenkező esetben a gép a Lovesan féreggel megfertőzött gépekhez hasonlóan 60 másodpercenként újraindulhat.

Az eltávolításhoz használja legalább a 4286-os adatbázisokat. Egyedi eltávolító eszköz letöltése: McAfee Stinger.

Kézi eltávolítás:

  1. Telepítse az MS03-026-os javítócsomagot.
  2. Állítsa le a következő szolgáltatásokat:
    • WINS Client
    • Network Connections Sharing
  3. Törölje a DLLHOST.EXE és SVCHOST.EXE állományt a WINDOWS SYSTEM32\WINS könyvtárából

    Fontos: a rendszerhez tartozó eredeto DLLHOST.EXÉ-t ne törölje!

  4. Módosítsa a regisztrációs adatbázist:
    • Törölje az "RpcPatch" kulcsot a
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services útvonalról
    • Törölje az "RpcTftpd" kulcsot az
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services útvonalról

Egyéb elnevezések:

W32.Welchia.worm (Symantec)
Worm_Msblast.d (Trend)
  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.