キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Nachi.A (別名:Welchia)
公開日:2003年09月10日
このウイルスに関する危険度 :■■
対応定義ファイル 定義ファイルバージョン 1.487 (20030818)以降で対応済みです。
ウイルスの対処方法 検出ファイルを削除してください
ウイルスに関する危険度 - 深刻な被害が拡大中
:注意 2 :感染可能性あり :感染報告あり :感染が拡大している :深刻な被害が拡大中


Win32/Nachi.A (別名:Welchia) 

このワームは、Windowsの2つの脆弱性を利用して感染します。 Lovsan(MSブラスト) と同様に、NT (NT/2000/XP/2003)系のWindowsシステムにあるRPC/DCOM(Remote Procedures Call - Distributed Component Object Model)サービスに関連した脆弱性を利用します。この脆弱性に対するパッチは、すでにMicrosoft社から7月16日にリリースされており、MS03-026に記述されています。

2番目に利用される脆弱性は、TCPポート80でのWebDavのバッファオーバーフローの脆弱性です。この脆弱性もまたすでにMicrosoft社からパッチがリリースされています。

このワームは、32ビットのWindowsプログラムとしてコンパイルされたPE(Portable Executable)ファイルで、ファイルサイズは10240バイトあります。

ワームは、感染を広げるために、ランダムにIPアドレスを選択しスキャンします。特定のIPアドレスにICMPエコーリクエストを送り、応答があるコンピュータが存在すると、そのマシンのTCPポート135または80に接続しようとします。このポートでRPCサービスやWebDavの脆弱性を狙い悪意のあるデータを送信します。

ワームは、脆弱性のあるコンピュータにリモートシェルを作成し、このマシンに接続できるようにします。その後、TFTP (Trivial File Transport Protocol)を介して、感染したファイルを被害ホストに転送します。

その後、ワームは次のような動作をします。
最初に、%System%\Winsというフォルダ(%System%は、システムフォルダの変数名)にDLLHOST.EXEという名前で感染したファイルをコピーし、下記ファイルを入れ替えます。

%System%\Dllcache\Tftpd.exe

%System%\Wins\svchost.exe


TFTPD. EXE (Trivial FTP Daemon)は、TFTPデーモンのような動作をするWindowsアプリケーションです。

ワームは、システムの再起動ごとに、RpcPatchとRpcTftpdというキーをレジストリ内の下記キーに書き込みます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

上記キーに書き込まれる情報は、以下の通りです。

サービス名: RpcTftpd
説明: Network Connections application Route Sharing:
%System%\wins\svchost.exe


このサービスは、手動で起動するように設定されます。

サービス名: RpcPatch
説明: WINS application Route Client:
%System%\wins\dllhost.exe

このサービスは、自動で起動するように設定されます

Lovsan(MSブラスト) にすでに感染している場合は、このワームを削除します。また、今後 Lovsan(MSブラスト) に感染しないよう、DCOM RPC 脆弱点関連パッチをダウンロードし、インストールします。

システムの日付が、 2004年またはそれ以後になると、 自動的に DLLHOST.EXE ファイルを削除しワームはその活動を終了します。


■ NOD32アンチウイルスによる削除方法

1. NOD32の定義ファイルを最新の状態にします。
2. NOD32オンデマンドスキャナを起動します。
3. NOD32オンデマンドスキャナの [ 設定 ] で、検査対象の [ アーカイブ ] にチェックをいれてください。
4. NOD32オンデマンドスキャナの [ アクション ] で [ アーカイブ ] を選択します。
「ウイルス検出時」のアクションとして [ 駆除 ] と [ 隔離 ] を選択します。
「駆除されなかった場合」のアクションとして [ 削除 ] と [ 隔離 ] を選択します。
5. [ 検査 ] または [ 駆除 ] ボタンをクリックしてください。
Win32/Nachi.A に感染していたファイルをすべて削除してください。
6. コンピュータを再起動して、もう一度NOD32オンデマンドスキャナを起動し検査を行ってください。


Win32/Nachi.A (別名:Welchia) 駆除ツール

本クリーナープログラムは、ESET社がフリーで提供している駆除支援ツールです。 ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1. 駆除ツール nciclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに
保存してください。(例 “c:\download”)
2. nciclean.exe を実行してください。
3.

ディスクスキャンの実施

駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。


【注意】下記警告メッセージが出ます。
NOD32アンチウイルスをお使いの場合はAMON(常駐監視)を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。
[ OK ] をクリックすると、ディスクスキャンが開始されます。

 
ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。
 
以上で操作が完了しました。 [ OK ] ボタンをクリックするとWindowsを再起動します。
(再起動しない場合は手動にて再起動してください)


4. Windowsを再起動後、 %System%\WINS\svchost.exe があれば手動にて削除をします。

以上で作業完了です。
このページのトップへ

(C)Canon IT Solutions Inc.