W32.Welchia.Worm

Virus-Warnung  -  Virus-Beschreibung

Beschreibung:

W32.Welchia.Worm ist ein Wurm, der sich über das Netzwerk verbreitet.

Er nutzt einerseits dazu die auch schon vom Blaster-Wurm verwendetete DCOM RPC Schwachstelle aus. Dabei handelt es sich um einen nicht geprüften Puffer im "Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen.

Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-026 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite .

Der zweite Weg, auf dem sich der Wurm verbreitet, ist über die WebDav-Schwachstelle. Hierbei handelt es sich eigentlich um einen nicht geprüften Puffer in der dynamischen Bibliothek ntdll.dll. Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle wird hauptsächlich bei Rechnern mit nichtgepatchtem IIS 5.0 (Internet Information Server 5.0 auf Windows NT-, 2000-, XP-Rechnern) ausgenutzt.

Informationen zu dieser Schwäche finden Sie im Microsoft Security Bulletin MS03-007 . Eine deutsche Beschreibung der Schwachstelle finden Sie auf dieser Microsoft-Seite .

Windows 95, 98, Me und Windows NT sind nicht betroffen.

W32.Welchia.Worm sucht über TCP Port 135 und Port 80 einen angreifbaren Rechner. Er versucht, den Microsoft-Patch gegen die DCOM RPC Schwachstelle zu installieren und den Blaster-Wurm zu entfernen.

Dafür kopiert er sich selbst per TFTP in das Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 in die Datei dllhost.exe.

Er kopiert die Datei tftpd.exe in ein neues Verzeichnis unter dem Namen der Systemdatei svchost.exe und installiert zwei neue Dienste mit den Namen "Network Connections Sharing" und "Wins Client", um den Patch zu laden, den Blaster-Wurm zu entfernen und sich selbst weiterzuverbreiten.

Wenn der Patch installiert wurde, startet der Rechner sich neu.

Möglicherweise wird versucht, den Patch in einer falschen Sprache zu installieren. Auch einige bisher nicht verifizierte Eigenarten werden möglicherweise durch fehlerhaften Code des Wurm ausgelöst. Dazu zählen auch einige Störungen, die bei laufender Internet-Verbindung auftreten.

Der Wurm enthält den nicht angezeigten Text:

=========== I love my wife & baby :)~~~ Welcome Chian~~~

Notice: 2004 will remove myself:)~~ sorry zhongli~~~====

======= wins

Im Jahr 2004 wird der Wurm deaktiviert und entfernt sich selbst vom Rechner.

Hinweis:

Da sich der Wurm nicht über E-Mail-Nachrichten versendet, kann er an Mail-Gateways nicht abgefangen werden.

Administratoren sollten (wenn möglich) auf der Firewall die Ports

80 TDP

135 TCP

135 UDP

139 TCP

137 UDP

445 TCP

38 UDP

593 TCP

sperren.

Aktuelle Viren-Signaturen von Schutzsoftware erkennen den Wurm.

Windows 95, Windows 98, Windows Me und Windows NT sind von diesem Wurm nicht betroffen!

Auch Rechner von Privatanwendern sind gefährdet! Die entsprechenden Funktionen und Schwachstellen sind in allen Versionen von Windows NT/2000/XP enthalten.

Hinweise zur Entfernung des Wurms

1. Der Wurm gelangt über Sicherheitslücken des Betriebssystems auf den Rechner. Um dieses zu verhinden, ist es wichtig diese zu schliessen.

Installieren Sie hierfür die beiden Patches, die die Sicherheitslücken schliessen.

Auf allen Windows NT-, 2000-, XP- und 2003 Server- Rechnern muss der Microsoft-Patch MS 03-026 installiert werden . Ob der Patch schon auf Ihrem Rechner installiert ist, können Sie in:

Start - Systemsteuerung - Software kontrollieren.

Wenn dort der Eintrag Windows XP Hotfix - KB823980 auftaucht, ist der Patch bereits installiert.

Ebenso muss auf allen Windows NT-, 2000- und XP-Rechnern der Microsoft Patch MS 03-007 installiert werden. Es sind durch den Wurm zwar nur solche Rechner mit dem Internet Information Server 5.0 betroffen, jedoch befindet sich die Sicherheitslücke in allen genannten Betriebssystemen.

2. Entfernen des Wurms:

Der einfachste Weg den Wurm zu entfernen, ist die Systemzeit kurzfristig auf 2004 zu stellen. Dann deaktiviert und entfernt sich der Wurm selbst.

Wenn dies nicht möglich ist, müssen folgende Schritte durchgeführt werden:

a. Wenn Ihr Betriebssystem Windows XP ist, deaktivieren Sie die Systemwiederherstellung (Anleitung dazu)

b. Aktualisieren Sie die Viren-Signaturen Ihres Antiviren-Programms

c. Starten Sie den Rechner neu oder stoppen Sie die o.g. Dienste

d. Führen Sie einen Suchvorgang mit Ihrer Anti-Virensoftware über Ihren Rechner durch und löschen Sie den gefundenen Virus.

e. Löschen Sie manuell die Datei svchost.exe aus dem Verzeichnis c:\Windows\System32\Wins bzw. c:\Winnt\System32\Wins. Beachten Sie dabei, dass Sie sich im richtigen Verzeichnis befinden.

Die Datei svchost.exe im Verzeichnis c:\Windows\System32 bzw. c:\Winnt\System32 darf auf gar keinen Fall gelöscht werden, da es sich um eine Systemdatei handelt.

Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn