キヤノンITソリューションズ：ESET Smart Security & ESET NOD32アンチウイルス：ウイルス情報


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Nachi.A (別名:Welchia)

公開日：2003年09月10日

このウイルスに関する危険度 :■■■■■

対応定義ファイル	定義ファイルバージョン 1.487 (20030818)以降で対応済みです。
ウイルスの対処方法	検出ファイルを削除してください
ウイルスに関する危険度	５ - 深刻な被害が拡大中

※ １:注意　２ :感染可能性あり　３:感染報告あり　４:感染が拡大している　５:深刻な被害が拡大中

■ Win32/Nachi.A (別名:Welchia)

このワームは、Windowsの２つの脆弱性を利用して感染します。 Lovsan(MSブラスト) と同様に、NT (NT/2000/XP/2003)系のWindowsシステムにあるRPC/DCOM(Remote Procedures Call - Distributed Component Object Model)サービスに関連した脆弱性を利用します。この脆弱性に対するパッチは、すでにMicrosoft社から7月16日にリリースされており、MS03-026に記述されています。

2番目に利用される脆弱性は、TCPポート80でのWebDavのバッファオーバーフローの脆弱性です。この脆弱性もまたすでにMicrosoft社からパッチがリリースされています。

このワームは、32ビットのWindowsプログラムとしてコンパイルされたPE(Portable Executable)ファイルで、ファイルサイズは10240バイトあります。

ワームは、感染を広げるために、ランダムにIPアドレスを選択しスキャンします。特定のIPアドレスにICMPエコーリクエストを送り、応答があるコンピュータが存在すると、そのマシンのTCPポート135または80に接続しようとします。このポートでRPCサービスやWebDavの脆弱性を狙い悪意のあるデータを送信します。

ワームは、脆弱性のあるコンピュータにリモートシェルを作成し、このマシンに接続できるようにします。その後、TFTP (Trivial File Transport Protocol)を介して、感染したファイルを被害ホストに転送します。

その後、ワームは次のような動作をします。
最初に、%System%\Winsというフォルダ(%System%は、システムフォルダの変数名)にDLLHOST.EXEという名前で感染したファイルをコピーし、下記ファイルを入れ替えます。

%System%\Dllcache\Tftpd.exe

%System%\Wins\svchost.exe

TFTPD. EXE (Trivial FTP Daemon)は、TFTPデーモンのような動作をするWindowsアプリケーションです。

ワームは、システムの再起動ごとに、RpcPatchとRpcTftpdというキーをレジストリ内の下記キーに書き込みます。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

上記キーに書き込まれる情報は、以下の通りです。

サービス名: RpcTftpd
説明: Network Connections application Route Sharing:
%System%\wins\svchost.exe

このサービスは、手動で起動するように設定されます。

サービス名: RpcPatch
説明: WINS application Route Client:
%System%\wins\dllhost.exe

このサービスは、自動で起動するように設定されます

Lovsan(MSブラスト) にすでに感染している場合は、このワームを削除します。また、今後 Lovsan(MSブラスト) に感染しないよう、DCOM RPC 脆弱点関連パッチをダウンロードし、インストールします。

システムの日付が、 2004年またはそれ以後になると、自動的に DLLHOST.EXE ファイルを削除しワームはその活動を終了します。

■ NOD32アンチウイルスによる削除方法

1.	NOD32の定義ファイルを最新の状態にします。
2.	NOD32オンデマンドスキャナを起動します。
3.	NOD32オンデマンドスキャナの [ 設定 ] で、検査対象の [ アーカイブ ] にチェックをいれてください。
4.	NOD32オンデマンドスキャナの [ アクション ] で [ アーカイブ ] を選択します。「ウイルス検出時」のアクションとして [ 駆除 ] と [ 隔離 ] を選択します。「駆除されなかった場合」のアクションとして [ 削除 ] と [ 隔離 ] を選択します。
5.	[ 検査 ] または [ 駆除 ] ボタンをクリックしてください。 Win32/Nachi.A に感染していたファイルをすべて削除してください。
6.	コンピュータを再起動して、もう一度NOD32オンデマンドスキャナを起動し検査を行ってください。

■ Win32/Nachi.A (別名:Welchia) 駆除ツール

本クリーナープログラムは、ESET社がフリーで提供している駆除支援ツールです。ご使用にあたっては、お客様ご自身の責任のもとでご使用ください。

1.	駆除ツール nciclean.exe をダウンロードし、ディスクドライブの任意のディレクトリに保存してください。（例 “c:\download”）
2.	nciclean.exe を実行してください。
3.	ディスクスキャンの実施駆除ツールにある [ Start ] ボタンを押し、ディスクスキャンを実施してください。【注意】下記警告メッセージが出ます。 NOD32アンチウイルスをお使いの場合はAMON（常駐監視）を停止してください。他社製のウイルス対策ソフトなどが常駐している場合、常駐を解除された状態でご使用ください。 [ OK ] をクリックすると、ディスクスキャンが開始されます。
	ウイルスを削除する確認ダイアログが表示されますので [ Yes ] を選択してください。
	以上で操作が完了しました。 [ OK ] ボタンをクリックするとWindowsを再起動します。（再起動しない場合は手動にて再起動してください)
4.	Windowsを再起動後、 %System%\WINS\ に svchost.exe があれば手動にて削除をします。

以上で作業完了です。