WormWin32Welchiab蠕虫警告及清除

2024年1月24日发(作者：)

a.b蠕虫警告及清除

哈尔滨工业大学CERT小组

目前校园网大量的机器感染a.b蠕虫，它是 的变种。如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统，则该蠕虫将尝试从

Microsoft Windows Update 网站下载 Microsoft 工作站服务中的缓冲区溢出可能允许执行代码和Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行补丁，然后安装补丁并重新启动计算机。

同时，该蠕虫还尝试删除 .A@mm 和 .B@mm 蠕虫。

1、利用的漏洞





a.b 利用多个漏洞，包括：

通过 TCP 端口 135 利用 DCOM RPC 漏洞（如Microsoft 安全公告 MS02-026 中所述）。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。

通过 TCP 端口 80 利用 WebDav 漏洞（如 Microsoft 安全公告 MS03-007 中所述）。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞，将会影响 Windows 2000 系统，并可能影响 Windows NT/XP 系统。

通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞（如 Microsoft 安全公告

MS03-049 中所述）。

通过 TCP 端口 445 利用 Locator 服务漏洞（如 Microsoft 安全公告 MS03-001 中所述）。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。

该蠕虫也是第一个利用MS03-049的蠕虫





2、危害

单机用户出现系统运行速度变慢，拷贝、粘贴功能不好用。

对于网络由于该蠕虫用100个线程进行扫描，因此对会造成网络的拥塞，对于网络基础设施危害很大。

对于存在iis服务的服务器，该蠕虫还会对有关页面进行更改。（针对于日文操作系统）

3、特点

a.b是用Visual C++开发,长度为12,800 Bytes (采用upx压缩)。

3.1安装

安装与自启动

该蠕虫创建名为 Wkspatch_mutex 的互斥体，检查内存中是否已经存在该蠕虫。随后，它在%System32%drivers文件夹中生成自身拷贝文件。

(注意：在Windows 95, 98 和 ME系统上，Windows系统文件夹通常是C:WindowsSystem ；在Windows 2000 和 NT系统上，通常是 C:WINNTSystem32 ；在Windows XP系统上，通常是C:WindowsSystem32)

它还会生成如下注册表键，使蠕虫在Windows启动的时候作为一种服务运行：

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

与早期的变种不同，该蠕虫不会在%System32%WINS文件夹中生成拷贝(TCP/IP Trivial文件传输后台程序)。它在%System32%WINS文件夹中也不会生成自身拷贝。

该蠕虫随后删除如下文件：

注意，该蠕虫认为蠕虫WORM_MYDOOM.A使用文件 和

，蠕虫WORM_MYDOOM.B使用文件 和 。这是因为这些文件名是蠕虫MYDOOM的拷贝。

3.2网络特点

首先，它利用上述的漏洞用100个线程进行扫描扫描，扫描的端口为80、135、445等。

随后它利用操作系统版本和本地信息。通过连接如下网站检查因特网连接状况：

它从预定义的微软网站下载补丁。随后执行该补丁并重启系统

3.3其他文件及注册表的修改

它会创建如下注册表键：

HKEY_LOCAL_MACHINESYSTEMCurrentControSet001ServicesWksPatch

Type = dword:00000010

Start = dword:00000002

ErrorControl = dword:00000000

ImagePath

DisplayName = "

ObjectName = "LocalSystem"

Description = "Maintains an up-to-date list of computers

on your network and supplies the list to programs that

request it."

注册表数值"DisplayName"由三组字符串产生，它们都是蠕虫随意选择的。该注册表值的数值可能为如下组合：

%String1% %String2% %String3%

%String1% 可能为如下字符串：

Security

Remote

Routing

Performance

Network

License

Internet

System

Browser

%String2% 可能为如下字符串：

Manager

Procedure

Accounts

Event

Logging

%String3% 可能为如下字符串：

Sharing

Messaging

Client

Provider

如下是该蠕虫产生注册表数值DisplayName的例子：

Network Accounts Messaging

Remote Procedure Client

该蠕虫还会创建如下注册表键：

HKEY_LOCAL_MACHINESystemCurrentControlSetServices

WksPatchSecurity

Security

删除注册表中存在的"Taskmon" 和"Explorer" 数值（为了清除mydoom.a）

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

该蠕虫还会覆盖如下被蠕虫MYDOOM修改的注册表键：

HKEY_LOCAL_MACHINECLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}

InProcServer32

default = %SystemRoot%

该蠕虫还会认为 (Web Site Monitor)是注册表键的原始数值。

该蠕虫打开在%System32%driversetc目录下的HOSTS文件，然后写下如下字符串：

#

#

127.0.0.1

该蠕虫还会检查系统日期。如果为2004年6月，则该蠕虫结束自身的运行。 如下文本是在蠕虫体中发现的：

LET HISTORY TELL FUTURE !

1931.9.18

1937.7.7

1937.12.13 300,000 !

1941.12.7

1945.8.6 Little boy

1945.8.9 Fatso

1945.8.15

Let history tell future !

4、清除

4.1手工清除方法

下面操作清除运行在Windows NT, 2000, 和 XP系统内存中的病毒服务：

1. 打开命令行窗口。点击Start>Run, 敲入CMD后回车

2. 在命令行提示符下，敲入:

NET STOP "Network Connections Sharing" 等有关组合见上3.3

3. 回车。然后将显示该服务已经停止的信息。

4. 然后在命令行提示符下，敲入：

5.

6.

7.

8.

9.

10.

11.

12.

NET STOP "Wkspatch"

回车。然后将显示该服务已经停止的信息。

关闭命令行窗口

打开注册表编辑器。点击Start>Run, 敲入REGEDIT,回车

在左边的面板中，双击如下项目：

HKEY_LOCAL_MACHINE>System>CurrentControlSetServices>

在左边的面板中，删除如下子键：

WksPatch

关闭注册表编辑器

删除%System32%drivers目录下的

如果，用net stop无法停住服务则先在注册表中删除有关关键值，从新启动系统后删除%System32%drivers目录下的。

4.2利用专杀工具

从下载有关专杀工具，依照提示进行清除。

4.3升级系统，打补丁

有关漏洞及信息见：

/technet/treeview/?url=/technet/security/bulletin/

/technet/treeview/?url=/technet/security/bulletin/

/technet/treeview/?url=/technet/security/bulletin/

/technet/treeview/?url=/technet/security/bulletin/

希望广大网络用户经常升级系统。