病毒名称:Nachi.B
蠕虫别名:W32/Nachi.worm.b [McAfee], W32/Nachi-B[Sophos],
Win32.Nachi.B [Computer Associates], WORM_NACHI.BTrend],
Worm.Win32.Welchia.b [Kaspersky],
W32.Welchia.b.Worm[Symantec]
感染系统:Windows 2000, Windows XP
蠕虫信息:
Nachi.B是Nachi蠕虫的一个最新变种,这个蠕虫会判断操作系统的版本,如果系统版本是中文简体、中文繁体、韩文、英文的话,蠕虫会试图从微软的update服务器上下载windows信使服务缓冲溢出漏洞与windows系统的Workstation服务缓冲溢出漏洞的补丁程序安装并重新启动系统。
同时这个蠕虫还会清除W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫。
Nachi.B蠕虫利用了以下几个漏洞进行传播:
1、Microsoft RPC接口远程任意代码可执行漏洞,
漏洞使用TCP 135端口。如果操作系统是winxp,蠕虫会使用该漏洞传播。
2、Microsoft IIS 5.0缓冲区溢出漏洞,
漏洞使用TCP 80端口。如果系统中安装有IIS5.0的话,蠕虫会利用这个漏洞传播。
3、windows系统的Workstation服务缓冲溢出漏洞,
漏洞使用TCP 445端口。
4、Microsoft Windows Locator服务远程缓冲区溢出漏洞,
漏洞使用TCP 445端口,如果系统是win2000,蠕虫会利用该漏洞传播。
如果你的系统中%Windir%\system32\drivers\目录下存在svchost.exe文件,就表明你的系统已经被感染了。
一旦系统被感染,蠕虫将做以下操作:
1、在系统中创建一个名为WksPatch_Mutex的互斥体,该互斥体存在的目的是为了保证系统进程中始终有且只有一个蠕虫进程在运行。
2、将自身拷贝成%System%\drivers\svchost.exe (注:%Windir%是一个变数,根据系统安装的目录路径而改变,默认情况下是c:\windows或c:\winnt)
3、创建一个系统服务:
服务名:WksPatch
服务程序:%System%\drivers\svchost.exe
服务描述:由%string1% %string2% %string3%三个字符组成,字符串内容随机从下 表中抽取。
A、字符串%string1%
System
Security
Remote
Routing
Performance
Network
License
Internet
B、字符串%string2%
Provider
Sharing
Messaging
Client
C、字符串%string3%
Provider
Sharing
Messaging
Client
举例说明:构造好的服务描述名可能是Security Logging
Sharing
4、删除服务名为RpcPatch的服务,如果它存在的话。(注:这个服务是Nachi蠕虫留下的)
5、检测注册表中是否有W32.Mydoom.A@mm 和W32.Mydoom.B@mm蠕虫创建的下列表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
6、如果通过上述检测发现系统中存在W32.Mydoom.A@mm 和W32.Mydoom.B@mm 蠕虫的话,该蠕虫将做以下操作:
a、删除下列文件
%System%\ctfmon.dll
%System%\Explorer.exe
%System%\shimgapi.dll
%System%\TaskMon.exe
b、删除注册表
HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Taskmon值删除注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项中的Taskmon值
c、恢复注册表
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32项中的值为"@"="%SystemRoot%\System32\webcheck.dll"
d、重写HOSTS文件的内容为:
#
#
127.0.0.1 localhost
7、创建随机的IP地址,并向这些地址发送攻击数据包,攻击数据包括以下这些:
a、发往TCP 135端口利用Microsoft RPC接口远程任意代码可执行漏洞的数据包
b、发往TCP 80端口利用IIS5.0的WEBDAV漏洞的数据包
c、发往TCP 445端口利用Workstation服务缓冲溢出漏洞的数据包
d、发往TCP 445端口利用Locator服务远程缓冲区溢出漏洞的数据包
8、运行HTTP服务在一个随机的端口,使得其他机器可以到被感染的机器下载蠕虫。
9、如果被感染的系统为日文系统,蠕虫会搜寻IIS的虚拟目录和%Windir%\Help\\IISHelp\common目录中的带有下列后缀的文件:.
.shtml
.shtm
.stm
.cgi
.php
.html
.htm
.asp
10、将上述查找到的文件覆盖成下面这个.htm文件:
11、如果系统版本是中文简体,中文繁体,韩文,英文的话,蠕虫将从微软的update站点下载下列补丁程序:
download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe
download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe
download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe
download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe
download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe
download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe
12、安装补丁程序然后重新启动系统。
13、满足下列条件之一,蠕虫将自动删除:
a、系统日期为2004年6月1号以后
b、蠕虫在系统上运行了120天
解决办法:
一、使用专杀工具
你可以到我们的网站上下载专杀工具:FixWelch.exe.
网址:http://www.ccert.edu.cn/pub/tools/FixWelch.exe
下载后请关闭其他应用程序后运行该专杀工具。
二、手动查杀
1、关闭系统的自动恢复功能(winxp自带的功能)
2、升级你的杀毒软件到最新的病毒库
3、重新启动系统到安全模式下
4、使用杀毒软件进行全盘扫描,发现病毒程序选择删除
5、重新启动系统