welchia.wormについて

W32.Welchia.Wormについて

　W32.Welchia.Wormは、W32.Blaster.Wormの亜種です。
　そのため、侵入に利用するセキュリティホール（脆弱性）も同一です。

　感染対象（感染条件）

　　・OSがWindows 2000, Windows XP、もしくはIISサーバを運用している
　　・脆弱性に対して、修正プログラムの適用（もしくはWindowsUpdate）がされていない
　　・ネットワークに接続している　
　これらの三点を満たしている機体は、ネットワークより攻撃を受けた時点で感染が確定します。
　
　--以下市大blaster対策HPより--
　メールでの感染ではなく、ネットワーク経由で感染するタイプのウイルス（ワーム）です。
　未対策のPCがウイルスを受信した時点で確実に感染します。
　
　情報基盤システムは、複数のファイヤーウォール、各拠点間のルータなどにて、
　ウイルスコードを防いでおり（不要ポートのフィルタリング）外部からblasterが直接侵入してくることはありません。

　原因・感染経路は現在調査中ですが、外部で感染したPCの接続（感染したノートPCの接続）による可能性が考えられます。
　この場合、同一サブネット内に存在する、未対策のPCは全て感染する可能性があります。感染を拡大することはありません）
　
　内部からの感染は、情報ネットワーク係にて対策が施された機器を通過せず、感染PCがネットワークに直結する形になります。
　そのため、防ぐ手だてが事実上ありません。各PCが対策を行い、身を守る必要があります。

　利用者は次の作業を必ず行ってください。（感染している場合は次項の感染PCの対処を参照願います。）
　感染手法は98・Meでも再現可能です。必ず全てのPCで行ってください。

　Windowsupdateはネットワークの負荷によりアクセスできなくなる（失敗する）可能性があります。
　その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をみてwindowsupdateを再試行してください。

　基本的な対策（感染前）

　・ウイルス定義ファイルのアップデート　
　・Windowsupdate　

　　WindowsUpdateはネットワークの負荷によりアクセスできなくなる（失敗する）可能性があります。
　　その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をおいてwindowsupdateを再試行してください。

　
W32.Welchia.Worm（BLAST.D　--市大blaster亜種対策HPより) 　

　
　感染経路はネットワークのみで、その際は80・135ポートを使用し、
　blasterと同じ脆弱性を利用するほか(135)、対策の行われていないIISサービス(80) も利用します。
　これらの脆弱性はWindowsupdateにより解消することができます。

　感染後の動作

　感染PCにblasterウイルスが存在した場合、それを削除します。
　次に、自身の進入経路であった脆弱性に、パッチを当て、補強します。
　（blasterの拡散を妨害する)

　次に、大量のデータをネットワーク内に送信し、脆弱性が放置されているPCからの応答を待ちます。
　応答を確認次第、ウイルスコードを送信し、感染させます。

影響について

　感染したPCは、ネットワークに対して莫大な量の探索データを放出し続けます。
　blasterなどは、対象IPアドレスをランダムに生成していたのに対して、welchiaは付近のIPアドレス全てに対して
　満遍なく攻撃を行います。
　（応答要求を、サブネット単位（xxx.xxx.xxx.1～255）に対して送り、応答のあったアドレスに対して、
　　blasterと同じ手法で感染を試みます。
　　このとき、対象アドレスが感染条件を満たしている場合、確実に感染します。
　1サブネットが終了すると、別のサブネットに対して同様の攻撃を試みます。）　
　
　感染PCは脆弱性が解消される・もしくは脆弱なPCが全て感染するまで、鼠算式に増え続けます。
　そのデータ量はblasterを遙かに凌ぐものであるため、ネットワーク速度の低下、断線が誘発されます。
　（応答要求icmp_pingとechoが、回線を圧迫し、回線速度の低下（処理要求を出してからラグが発生するが、接続自体は可能な状態）
　　や、ネットワークダウンを引き起こします。（データ量が、ネットワーク機器の処理能力を超えた場合。特にフィルタリング機器やルータが危険です。）

ネットワーク

福浦に設置しているルータ（福浦から金沢八景、浦舟を結ぶ、重要なネットワーク機器です）
が不定期にダウンを繰り返したことから、IDS（監視装置）に、welchia用モジュールを組み込み、状況を見ております。
結果、特に福浦キャンパスに多数、浦舟、金沢八景、木原にも感染した機体が存在することが判っています。

感染したノートPCの持込によるものであると推測されますが、研究室のあるフロアから感染が始まっているため、
（感染した機体が常時起動しているラインもあります。）
該当する機体の所有者が判別でき次第、こちらから連絡をとり、対処をお願いします。

（推定規模が大きい場合は各ネットワーク機器でフィルタリングを行うことも考えますが、
　パッチで防御が可能であること、対処方法が明らかになっていることから今回は十分に対処が可能と判断しています。
　感染対象となる、未対策PCの数は多くありません。）

感染した場合の対処

１　感染が確認されたPCは周囲を攻撃し続けています。
　　速やかにLANケーブルを抜き、被害が拡大しないようにしてください。
　　
２　感染しているPCを立ち上げ、管理者権限でログインします。（XP　Homeは通常通り）
　　このCDを感染した機体にセットし、駆除ツールFixWelch.exeを実行し、駆除を行ってください。
　　FixWelch.exe　…symantec無償駆除ツール　（開く、で実行することができます）

　　実行後は指示に従い、再起動をしてください。

３　次に、20031020-009-i32.exeを実行し、ウイルス定義ファイルを更新してください。
　　　　10/20日付けウイルス定義ファイル　（開く、で実行することができます）

４　OSに適合するパッチを実行してください。

　　　　感染したPCの該当するパッチを実行してください。（開く、で実行することができます）
　　　　windowsXP用パッチ　
　　　　 windows2000用パッチ
　　　　 windowsNT用パッチ

　　　　windows98・Me…感染対象からは外れていますが、亜種による感染が懸念されます。
　　　　後にWindowsupdateを行ってください。

５　ワクチンソフトからコンピュータの完全スキャン（全ドライブ）を行ってください。
　　ウイルスが検知されない、または検疫されている場合、
　　駆除に成功していますので、 LANケーブルを接続してください。
　　　　
６　Windowsupdateを行い、他の脆弱性を解消してください。