Worm.WelChia.b

病毒别名：Worm.Win32.WelChia.b[AVP]

处理时间：2004-02-12

威胁级别：★★★

中文名称：“冲击波克星”变种

病毒类型：蠕虫

影响系统：WinNT4.0/Win2000/WinXp/Win2003

病毒行为:

“冲击波克星”蠕虫

编写工具:VC6.0, UPX压缩

传染条件:通过以下系统漏洞传播：

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability (使用TCP端口135) MS03-026

WebDAV vulnerability (使用TCP端口80) MS03-007

IIS5/WEBDAV Buffer Overrun vulnerability MS03-049

Locator service vulnerability MS03-001

发作条件:攻击日文的操作系统

系统修改:

A、在注册表中添加以下键值：

1)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch------添加了该键后，每当系统启动时，该病毒就能以服务的形式运行

Type = dword:00000010

Start = dword:00000002

ErrorControl = dword:00000000

ImagePath

DisplayName = "随机生成的值"

ObjectName = "LocalSystem"

Description = "Maintains an up-to-date list of computers on your network and supplies the list to programs that request it."

DisplayName由三组字符串组成：

%字符串1% %字符串2% %字符串3%

每次会分别从每组字符串中随机取出一个字符串来组成一个完整的名字

字符串1：

Security

Remote

Routing

Performance

Network

License

Internet

System

Browser

字符串2：

Manager

Procedure

Accounts

Event

Logging

字符串3:

Sharing

Messaging

Client

Provider

2)HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatchSecurity Security

B、如果以下注册表键值存在，该病毒会将其删除：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

C、如果以下键值被MYDOOM病毒修改了，该病毒也会将它用WEBCHECK.DLL覆盖

D、该病毒会将其自身拷贝在%System32%drivers目录下，文件名为：SVCHOST.EXE

发作现象:

A、如果系统不是日文，那么该病毒不会对系统造成什么危害，反而会为系统打上相关的补丁：http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe

http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe

http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe

http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe

http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe

http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe

B、如果为日文系统，那么该病毒会从注册表Virtual Roots及IIS Help folders中读取路径，并尝试用病毒体内带的一个网页文件替换此路径下的文件。该网页的截图见图

特别说明: