Win32/Welchia.worm. 10240 신종바이러스(웰시아) 증상 + 설명 + 치료방법 ...

[인간문화재,]

Win32/Welchia.worm. 10240

증상

- RPC DCOM 취약점을 이용하여 전파된다.
- Win32/Blaster.worm.6176가 실행중이라면 강제로 종료하고 파일을
삭제한다.
- RPC DCOM 관련 보안패치가 안된 경우 패치파일을 다운로드하여
실행한다.
- TCP 707 포트가 오픈된다.

바이러스 설명

Win32/Welchia.worm. 10240

이 웜은 RPC DCOM 취약점을 이용하여 전파되며 실행후 RPC DCOM 관련 보안패치를 내려 받아 온다. 그리고 현재 프로세스에서 기존에 '블래스터(Blaster) 라고 알려진 Win32/Blaster.worm.6176가 존재한다면 강제로 종료후 파일을 삭제한다.

- 전파방법

웜에 감염된 시스템은 download.microsoft.com 에 DNS 쿼리를 요청한 후 해당 주소의 IP 주소를 얻은 후, 웹 사이트에 접속하여 감염된 시스템 OS 에 해당하는 패치파일을 받아오게 된다.

파일을 받은 후, ICMP 패킷(타입이 8번인 Echo Request)을 전송하면서 살아있는 시스템을 찾게된다. ICMP 패킷을 전송시에는 컴퓨터에 설정된 시스템 IP 를 기준으로 B 클래스 주소를 고정시킨 후 C 클래스 대역의 IP 를 계속 증가시키면서 패킷을 전송하게 된다. (예를 들어, 192.168.40.10 의 IP 주소를 가지고 있다면, 웜에 감염후 ICMP 패킷 전송시에는 192.168.0.1 부터 시작하여 계속 증가시킨다.)

ICMP 로 패킷전달 후 살아있는 시스템이 있게되면 TCP/135 번의 RPC DCOM 취약점을 이용하여 공격을 시도하게 된다. 공격에 성공하게 되면 Win32/Blaster.worm과는 달리 TCP/707 번을 이용하여 역방향으로 명령실행창을 띄우게 된다.

즉, 블래스터 웜은 공격받은 시스템에 TCP/4444 번으로 포트를 오픈하여 웜을 다운로드 받고 실행시키지만, 이 웜은 공격을 시도한 컴퓨터에 TCP/707 번으로 포트를 오픈하게 된다.

또한 이 웜은 WebDAV 취약점 관련 코드를 가지고 있으며 이 취약점에 대한 자세한 정보는 다음과 같다.

MS03-007 WebDAV 취약점

- 조작된 ICMP 패킷 데이터

- 조작된 ICMP 패킷 전송
- ICMP 데이터 부분은 64bytes '0xAA' 로 채움
- ICMP echo requests (type 8, code 0)



출발지 주소는 웜에 감염된 시스템 주소이며, 목적지는 B 클래스를 고정하고
IP 주소를 증가시키며 패킷을 전송한다. 이더넷 프레임 헤더를 제외한
92 바이트의 패킷 사이즈를 가지고 있다.

- 전파시 네트워크 트래픽량

하나의 C 클래스 대역 으로 패킷을 전송하는 데에는 시스템마다 차이를 가지겠지만 약 4초 정도의 시간이 소요된다. ICMP 패킷은 92Bytes(이더넷 프레임제외) 로 64 bytes 의 임의 데이터를 포함하고 있다. 이 웜은 ICMP 패킷을 생성시 대략 초당 5.9K, 분당 353K 정도의 트래픽을 유발한다.

- 실행후 증상

웜은 윈도우 시스템 폴더(일반적으로 \Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.

- dllhost.exe (10,240 바이트)

웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성 되었다. V3는 Win32/Welchia.worm.10240 로 진단

- svchost.exe (19,728 바이트)

원래는 tftpd.exe 파일이며 정상적인 파일로서 진단하지 않는다.

그리고 다음의 레지스트리 값에 추가된후 서비스로 등록되여 부팅시 마다 실행되도록 한다.

HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet001\
Services\
RpcPatch

HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet002\
Services\
RpcPatch

HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet001\
Services\
RpcTftpd

HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet002\
Services\
RpcTftpd

HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
RpcPatch

HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
RpcTftpd

서비스에 등록된 이름은 다음과 같다.

- WINS Client

- Network Connections Sharing



그리고 실행된 시스템의 OS 와 코드페이지 넘버, RPC DCOM 취약점 패치가 된 시스템인지를 확인후 패치가 안된 시스템이라면 해당 시스템의 언어와 OS 에 맞는 패치파일을 http://download.microsoft.com/ 에서 다운 받아온 후 실행한다. 실행될때는 옵션을 주어서 화면에 보이지 않도록 설치되며 윈도우 XP 경우는 설치된 후 시스템이 재부팅된다. 다운 받아오는 언어별 패치는 4곳이며 다음과 같다.

- 한국어
- 중국어(대만)
- 중국어(본토)
- 영어

또한 프로세스에서 기존의 Win32/Blaster.worm.6176 웜이 존재한다면 강제로 종료하고 해당 파일을 삭제하게된다.

- 그외 증상

웜은 2004년이 된후 실행하면 자신을 삭제한다. 또한 다음과 같은 Mutex 를 생성하여 중복 실행되는 것을 방지한다.

- RpcPatch_Mutex

웜 내부에는 다음과 같은 문자열이 하드코딩 되어 있다.

=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:)~~ sorry zhongli~~~===========

이 정보는 2003년 08월 18일 20시 15분에 최초작성 되었으며 2003년 08월 19일 00시 58분에 최종 수정 되었다.

치료방법

- V3 제품군 치료방법

1. V3를 실행후 최신엔진 및 패치파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 Win32/Welchia.worm. 10240' 가 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당)

4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다.

5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)

6. 보안패치가 적용이 안된 사용자라면 확인 후 '참고사항' 에 있는 보안패치를 반드시 적용하도록 한다.

- 블래스터 웜 전용백신(Blockblaster)를 이용한 패킷차단, 진단/삭제방법

블래스터 전용백신(Blockblaster)을 이용하면 Win32/Welchia.worm.10240의 패킷유입을 차단하고, Win32/Welchia.worm.10240 파일을 진단/삭제할 수 있습니다.

전용백신 다운로드

- 수동치료방법

1. 시작 -> 설정 -> 제어판 -> 관리도구 -> 서비스 아이콘을 더블클릭한다.

2. 실행중인 서비스명중 다음 서비스가 있는지 확인후 있다면 해당 서비스를 중지하도록 한다.

- WINS Client

- Network Connections Sharing

3. CTRL+ALT+DEL 키를 동시에 눌러 작업관리자를 실행후 -> 프로세스 탭으로 이동한다.

4. 현재 실행중인 프로세스 목록중에서 DLLHOST.EXE 가 실행중이라면 선택후 '프로세스 종료' 버튼을 눌러 종료하도록 한다.

* 서비스가 종료되면 해당 프로세스도 같이 종료되는 경우가 있다. 이 경우는 별도로 프로세스를 종료하지 않아도 된다.

5. \WinNT\System32\Wins 또는 \Windows\System32\Wins 폴더로 이동후 다음과 같은 파일을 삭제한다.

- DLLHOST.EXE
- SVCHOST.EXE