PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	Worm-W32/Welchia.10240	바이러스 종류	Worm
실행 환경	Win9x, Win2000, NT	제작지	중국
발견일	20030818	바이러스크기	10,240 Bytes
메일 제목
첨부파일
바이러스 증상
비주얼 C++로 작성되었으며, Worm-W32/Blaster 와 같은 NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파된다. 그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를 다운받아 설치한 후에 재부팅후 Worm-W32/Blaster가 존재하면 삭제시도를 한다. 웜이 실행 되면 윈도우 시스템 하위 wins폴더(c:\winnt\system32\wins)에 dllhost.exe(10,240 byte)와 svchost.exe(19,728 byte)를 생성한다. svchost.exe 파일은 시스템 폴더의 dllcache폴더(c:\winnt\system32\dllcache)에서 정상파일인 tftpd.exe을 복사한 후 이름을 변경한것으로, 시스템 폴더(c:\winnt\system32)의 svchost.exe와 다른 파일이다. 또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcPatch HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcPatch HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcTftpd HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd 그리고 감염 대상 시스템을 찾기 위해 ICMP 또는, PING 신호를 보내게 되며, 이 과정에서 네트웍 트래픽이 증가하게 된다. 이웜은 두가지 포트를 이용하여 시스템 이상을 일으키는데, 135번 포트를 통해서는 DCOM RPC 취약점을, 또한 80번 포트를 통해서는 WebDav 취약점 (http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp)을 이용하여 IIS 5.0 시스템을 공격한다. 웜 내부에는 다음과 같은 문자열이 존재 한다. =========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins 또한 2004년이 되어 실행 되면 자신을 삭제하게 된다.
치료 방법	터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다. *WebDAV 패치 http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp
직접치료방법