글 제목의 등급은 다음과 같습니다. 1등급은 경보(24시간 경보상태), 2등급은 위험이며(빠른 속도로 전파되고 있는중), 3등급은 위해이며(특정날짜나 위험한 악성코드가 날 조짐), 4등급은 주의이며(시스템에는 영향을 많이 끼치지 않으나 많이 확산되고 있는 상태), 5등급은 안전(대부분 안전상태)입니다.

대학교 서버도 다운시켜 버리고 학교 전체 네트워크의 엄청난 트래픽을 유발한 Welchia웜의 변종이 나타났습니다. 안철수연구소와 하우리에서 2번이나 긴급업데이트를 한것으로 보아 위험상태에 도달할수도 있는것 같습니다.

참고로 예전에 어떤 교수의 컴퓨터에 웰치아 웜이 감염된 적이 있었는데, 그때 학교 서버가 다운되고 랜도 엄청나게 느려진적이 있었습니다. 강력한 웜입니다.

웰치아 같은 웜은 안티바이러스 프로그램을 사용해서는 근본적인 치료가 안됩니다. 아래의 글을 읽으셔서 윈도우즈의 보안패치도 하고, 웜 예방하세요.

참고로 Welchia웜은 변종이 3개까지 나왔습니다. 국내에 보고되기로는 3일전인가 2일전에 특정사이트에서 보고된 바가 있는데, 국내에서는 오늘 업데이트가 되었습니다. 첫번째변종(Welchia.B)은 안철수연구소, 하우리, 에브리존에서 검사/치료가 가능하며 두번째, 세번째 변종(Welchia.C와 Welchia.D)은 안철수연구소, 하우리에서 검사/치료 가능합니다.

무료백신인 Avast!에선 아직 업데이트가 없는것 같고, AntiVir PE에서는 방금전에 업데이트가 되었습니다. 참고하셔서 웜 예방하세요.

내 용 ==============================================================================

[요 약]

2004년 2월 11일 외국에서 발견되었으며, 국내에도 2004년 2월 12일 발견 보고가 되었다.

확산 방법중에는 국내에 많은 피해 사례가 발생하였던 RPC DCOM 취약점을 이용한 확산 방법이 포함되어 있으므로 주의해야 한다.

대표적인 증상으로는 감염되면 Microsoft에서 제공하는 RPC DCOM에 대한 업데이트를 자동으로 다운로드 받아 설치하며,  만약 I-Worm.Win32.Mydoom.22528 버전과 I-Worm.Win32.Mydoom.29184 버전에 감염되어 있다면 Mydoom과 관련된 파일을 삭제시키는 증상이 있다.

[확산 방법]

웜이 실행되면 우선 다음의 사이트에 임의적으로 접근하여 인터넷 연결 여부를 확인한다.

- google.com
- intel.com
- microsoft.com

인터넷 연결 여부가 확인되면 랜덤한 IP 대역을 웜 내부에서 생성한 다음 각각 다음의 취약점 코드를 선정된 IP대역으로 보낸다.

- TCP 135번 포트를 이용하여 RPC Interface Buffer Overflow 취약점 코드를 전송.
- WebDAV 취약점을 이용하기 위한 TCP80 포트를 이용하여 관련 취약점 코드를 전송.
- Workstation service buffer overrun 취약점 코드를 TCP 445 포트로 전송.
- Locator Service 취약점 코드를 TCP 445 포트로 전송.

웜이 사용하는 4가지 취약점에 대한 자세한 사항은 아래의 관련 링크를 참고 한다.

- RPC DCOM 취약점 정보 자세히 보기.(MS03-026,MS03-049)

- WebDAV 취약점 정보 자세히 보기.

- Workstation service buffer overrun 취약점 정보 자세히 보기.

- Locator Service 취약점 정보 자세히 보기.

취약점에 발견된 시스템을 찾게 되면 웜은 윈도우 시스템 디렉토리에 존재하는 Drivers 디렉토리에 다음의 이름으로 웜을 복사해 넣는다.

- C:\WINNT\System32\Drivers\SVCHOST.EXE (12,800 바이트)

[감염 후 증상]

1.웜은 중복 실행을 방지하기 위하여 다음과 같은 이름으로 Mutex를 생성한다.

- WksPatch_Mutex

2.감염되면, Microsoft에서 제공하는 RPC DCOM관련 보안 패치를 다운로드 받아 자동으로 설치하는 증상이 있는데, 웜이 다운로드 받아 올 수 있는 RPC DCOM에 대한 URL은 다음과 같다.

- http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe    
- http://download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe    
- http://download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe    
- http://download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe  
- http://download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe  
http://download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe

3. 만약, 시스템이 I-Worm.Win32.Mydoom.22528 버전 또는  I-Worm.Win32.Mydoom.29184에 감염되어 있다면 다음의 파일 및 레지스트리를 삭제 하여  Mydoom을 제거시킨다.

삭제되는 파일명 :

- (윈도우 시스템 폴더)\ctfmon.dll
- (윈도우 시스템 폴더)\Explorer.exe
- (윈도우 시스템 폴더)\shimgapi.dll
- (윈도우 시스템 폴더)\TaskMon.exe

삭제시키는 레지스트리 :

- HEKY_LOCAL_MACHINE\
     Software\
       Microsoft\
         Windows\
           CurrentVersion\
              Run

이  름 : Taskmon

- HKEY_CURRENT_USER\
     Software\
       Microsoft\
         Windows\
           CurrentVersion\
             Run

이  름 : Taskmon

4.웜은 서비스로 등록되어 재 부팅시에도 자동으로 실행되는데, 서비스 이름은 아래와 같다.
- WksPatch

5.웜은 OS 코드 페이지를 조사하여 코드 페이지가 일본어 페이지에 해당되면 IIS Help 디렉토리와 Virtual Roots 디렉토리에 존재하는는 .shtml,.shtm,.stm,.cgi,.php,.html,.htm,.asp 파일을 다음의 HTML 문서로 겹쳐쓴다.

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

6. 감염된 시스템 날짜가 2004년 6월 1일이거나 감염된지 120일 이후로는 웜은 자동으로 종료된다.

*최초 작성 : 2004년 2월 12일 오전 8시 15분 HAURI Inc.
*마지막 수정 : 2004년 2월 12일 오후 3시 11분 HAURI Inc.

치료방법 ==============================================================================

- 2004년 2월 12일자 바이로봇 긴급 업데이트 버전에서 이 웜에 대한 진단 및 제거 기능을 제공한다.

- 일반 사용자들의 감염 경로는 대부분 RPC DCOM에 관련된 취약점을 이용한 감염이다 그러므로 다음의 패치를 반드시 적용하여 Welchia 웜 뿐만 아니라 이와 유사한 웜에 대한 감염을 예방해야 한다.

[RPC Interface Buffer Overflow 보안 패치 다운로드 링크]

영향 받는 운영체제 :

- Microsoft Windows NT Workstation 4.0
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Windows Server 2003

OS별 보안 패치 링크 :

- MS03-039 윈도우 2000
- MS03-039 윈도우 NT Workstation
- MS03-039 윈도우 NT 4.0 Terminal Server(영문 버전)
- MS03-039 윈도우 NT 4.0 Server
- MS03-039 윈도우 XP(일반 한글XP 사용자용)
- MS03-039 윈도우 XP(64Bit 영문 버전 사용자용)
- MS03-039 윈도우 XP(64Bit 버전 2003 영문 버전 사용자용)
- MS03-039 윈도우 Server 2003용
- MS03-039 윈도우 Server 2003(64Bit 영문 버전 사용자용)

[Locator service 보안패치 다운로드 링크]

- MS03-001 취약점 패치 다운로드

[WebDAV 보안 패치 다운로드 링크]

- MS03-013 보안 패치 자세히 보기

*참고 사항 : WebDAV를 사용하는 IIS 사용자만 해당 되지만, 윈도우2000 서버급 이상에서는 자동으로 Enable되어 있다. 그러므로 IIS를 사용하지 않더라도 윈도우2000 서버급 이상을 사용한다면 서비스팩 4이상이나 MS03-007 패치를 적용해야 한다.(MS03-007 보안 패치에 문제점으로 인하여 MS03-013를 적용한다.)

[Workstation service buffer overrun 보안패치 다운로드 링크]

- MS03-049 취약점 보기

* 참고 사항 : 별도의 표기가 되지 않은 다운로드 사이트는 모두 한글OS 기준임.