- RPC DCOM 취약점을 이용하여 전파된다.
- Win32/Blaster.worm.6176가 실행중이라면 강제로 종료하고
파일을
삭제한다.
- RPC DCOM 관련 보안패치가 안된 경우 패치파일을 다운로드하여
실행한다.
- TCP
707 포트가 오픈된다.
바이러스 설명
Win32/Welchia.worm. 10240
이 웜은 RPC DCOM 취약점을 이용하여 전파되며 실행후 RPC DCOM 관련 보안패치를 내려 받아
온다. 그리고 현재 프로세스에서 기존에 '블래스터(Blaster) 라고 알려진 Win32/Blaster.worm.6176가 존재한다면 강제로 종료후 파일을 삭제한다.
- 전파방법
웜에 감염된 시스템은 download.microsoft.com 에 DNS 쿼리를
요청한 후 해당 주소의 IP 주소를 얻은 후, 웹 사이트에 접속하여 감염된 시스템 OS 에 해당하는 패치파일을 받아오게 된다.
파일을 받은 후, ICMP 패킷(타입이 8번인 Echo Request)을 전송하면서 살아있는 시스템을 찾게된다. ICMP 패킷을
전송시에는 컴퓨터에 설정된 시스템 IP 를 기준으로 B 클래스 주소를 고정시킨 후 C 클래스 대역의 IP 를 계속 증가시키면서 패킷을 전송하게
된다. (예를 들어, 192.168.40.10 의 IP 주소를 가지고 있다면, 웜에 감염후 ICMP 패킷 전송시에는 192.168.0.1 부터
시작하여 계속 증가시킨다.)
ICMP 로 패킷전달 후 살아있는 시스템이 있게되면 TCP/135 번의 RPC DCOM 취약점을
이용하여 공격을 시도하게 된다. 공격에 성공하게 되면 Win32/Blaster.worm과는 달리 TCP/707 번을 이용하여 역방향으로
명령실행창을 띄우게 된다.
즉, 블래스터 웜은 공격받은 시스템에 TCP/4444 번으로 포트를 오픈하여 웜을 다운로드 받고
실행시키지만, 이 웜은 공격을 시도한 컴퓨터에 TCP/707 번으로 포트를 오픈하게 된다.
또한 이 웜은 WebDAV 취약점 관련
코드를 가지고 있으며 이 취약점에 대한 자세한 정보는 다음과 같다.
MS03-007 WebDAV 취약점
- 조작된 ICMP 패킷
데이터
- 조작된 ICMP 패킷 전송
- ICMP 데이터 부분은 64bytes '0xAA' 로 채움
-
ICMP echo requests (type 8, code 0)
출발지 주소는 웜에 감염된 시스템 주소이며,
목적지는 B 클래스를 고정하고
IP 주소를 증가시키며 패킷을 전송한다. 이더넷 프레임 헤더를 제외한
92 바이트의 패킷 사이즈를
가지고 있다.
- 전파시 네트워크 트래픽량
하나의 C 클래스 대역
으로 패킷을 전송하는 데에는 시스템마다 차이를 가지겠지만 약 4초 정도의 시간이 소요된다. ICMP 패킷은 92Bytes(이더넷 프레임제외) 로
64 bytes 의 임의 데이터를 포함하고 있다. 이 웜은 ICMP 패킷을 생성시 대략 초당 5.9K, 분당 353K 정도의 트래픽을 유발한다.
- 실행후 증상
웜은 윈도우 시스템 폴더(일반적으로
\Winnt\system32, \windows\system32)의 하위폴더인 Wins 폴더에 아래의 파일들을 복사된 후 실행된다.
- dllhost.exe (10,240 바이트)
웜 본체로서 실행압축된 형태이며 Visual C++ 로 작성
되었다. V3는 Win32/Welchia.worm.10240 로 진단
그리고 실행된 시스템의 OS 와 코드페이지
넘버, RPC DCOM 취약점 패치가 된 시스템인지를 확인후 패치가 안된 시스템이라면 해당 시스템의 언어와 OS 에 맞는 패치파일을
http://download.microsoft.com/ 에서 다운 받아온 후 실행한다. 실행될때는 옵션을 주어서 화면에 보이지 않도록 설치되며
윈도우 XP 경우는 설치된 후 시스템이 재부팅된다. 다운 받아오는 언어별 패치는 4곳이며 다음과 같다.
- 한국어
-
중국어(대만)
- 중국어(본토)
- 영어
또한 프로세스에서 기존의 Win32/Blaster.worm.6176
웜이 존재한다면 강제로 종료하고 해당 파일을 삭제하게된다.
- 그외 증상
웜은 2004년이 된후 실행하면 자신을 삭제한다. 또한 다음과 같은 Mutex 를 생성하여 중복 실행되는 것을
방지한다.
- RpcPatch_Mutex
웜 내부에는 다음과 같은 문자열이 하드코딩 되어 있다.
=========== I love my wife & baby :)~~~ Welcome Chian~~~ Notice:
2004 will remove myself:)~~ sorry zhongli~~~===========
이 정보는 2003년 08월
18일 20시 15분에 최초작성 되었으며 2003년 08월 19일 00시 58분에 최종 수정 되었다.
치료방법
- V3 제품군 치료방법
1. V3를 실행후 최신엔진 및 패치파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고
검사를 시작한다.
3. 프로세스에서 실행중인 Win32/Welchia.worm. 10240' 가 진단되면 안내되는 메시지의
'강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당)
4. 프로세스 검사와 지정
드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다.
5. V3 사용자
경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)
6. 보안패치가 적용이 안된
사용자라면 확인 후 '참고사항' 에 있는 보안패치를 반드시 적용하도록 한다.
- 블래스터 웜
전용백신(Blockblaster)를 이용한 패킷차단, 진단/삭제방법
블래스터
전용백신(Blockblaster)을 이용하면 Win32/Welchia.worm.10240의 패킷유입을 차단하고,
Win32/Welchia.worm.10240 파일을 진단/삭제할 수 있습니다.