PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

최신 업데이트 현황 document.write("2018.07.06.0");

목록ㅣ

인쇄

Worm-W32/Welchia.12800.C
바이러스 종류	Worm	실행환경	Windows
발견일	2004년02월14일	제작지	불분명
위험등급		확산방법
바이러스 크기	12,800 Bytes	첨부파일
메일제목
증상요약
치료방법	터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 치료 후 windows 2000 Server 이상에서 IIS 서버를 사용하시는 유저는 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다. WebDAV 패치 http://www.microsoft.com/korea/technet/security/bulletin/MS03-013.asp RPC-DCOM 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp 워크스테이션 서비스의 버퍼 오버런 보안패치 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 로케이터 서비스 다운로드 안내 http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp

Worm-W32/Welchia.12800의 변형으로 Worm-W32/Blaster 와 같은 NT 계열의 DCOM RPC 보안의 취약점을 이용하여 감염 전파된다. 그러나 윈도우즈 업데이트 사이트에서 해당 OS 언어별 DCOM RPC 패치를 다운받아 설치한 후에 재부팅후 W32/Mydoom@mm이 생성한 다음과 같은 파일이 존재하면 삭제시도를 한다. ctfmon.dll Explorer.exe shimgapi.dll TaskMon.exe 웜이 실행 되면 윈도우 시스템 하위 drivers폴더(win 2000, NT : c:\winnt\system32\drivers Windows Xp : c:\windows\system32\drivers)에 svhost.exe(12,800 byte)를 생성한다. 이웜은 4가지 취약점과 네가지 포트를 이용하여 시스템 이상을 일으키는데, 다음과 같다. 1. 135번 포트를 통해서는 DCOM RPC 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp) 2. 80번 포트를 통해서는 WebDav 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp) 3. TCP 139번과 445 포트를 통해서는 Workstation service buffer overrun 취약점(http://www.microsoft.com/korea/technet/security/bulletin/MS03-049.asp 4. 로케이터 서비스 취약점 (http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp) 웜은 이들 취약점을 이용하여 IIS 5.0 시스템을 공격한다. 또한 시스템날짜를 체크하여 2004년 6월1일 이후 또는 실행된지 120일이 지나면 실행되지 않고 자신을 삭제한다.



무단전재ㆍ배포금지
- 에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다. - 에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다. - 이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다. * 에브리존 정보 이용 문의 : greenking@everyzone.com