welchia.wormについて

W32.Welchia.Wormについて

　W32.Welchia.Wormは、W32.Blaster.Wormの亜種です。
　そのため、侵入に使用するセキュリティホール（脆弱性）も同一です。

　感染対象（感染条件）
　　・OSがWindows 2000, Windows XP、もしくはIISサーバ
　　・脆弱性に対して、修正プログラムの適用（もしくはWindowsUpdate）していない
　　・ネットワークに接続している　
　　
　　これらの三点を満たしている機体は、ネットワーク攻撃により確実に感染します。
　
　--以下市大blaster対策HPより--
　メールでの感染ではなく、ネットワーク経由で感染するタイプのウイルス（ワーム）です。
　未対策のPCがウイルスを受信した時点で確実に感染します。
　
　情報基盤システムは、複数のファイヤーウォール、各拠点間のルータなどにて、
　ウイルスコードを防いでおり（不要ポートのフィルタリング）外部からblasterが直接侵入してくることはありません。

　原因・感染経路は現在調査中ですが、外部で感染したPCの接続（感染したノートPCの接続）による可能性が考えられます。
　この場合、同一サブネット内に存在する、未対策のPCは全て感染する可能性があります。感染を拡大することはありません）
　
　内部からの感染は、情報ネットワーク係にて対策が施された機器を通過せず、感染PCがネットワークに直結する形になります。
　そのため、防ぐ手だてが事実上ありません。各PCが対策を行い、身を守る必要があります。

　利用者は次の作業を必ず行ってください。（感染している場合は次項の感染PCの対処を参照願います。）
　感染手法は98・Meでも再現可能です。必ず全てのPCで行ってください。

　Windowsupdateはネットワークの負荷によりアクセスできなくなる（失敗する）可能性があります。
　その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をみてwindowsupdateを再試行してください。

　基本的な対策（感染前）

　・ウイルス定義ファイルのアップデート　
　・Windowsupdate　

　　WindowsUpdateはネットワークの負荷によりアクセスできなくなる（失敗する）可能性があります。
　　その場合、最低限ウイルス定義ファイルのアップデートだけを行い、時間をおいてwindowsupdateを再試行してください。

　
W32.Welchia.Worm（BLAST.D　--市大blaster亜種対策HPより) 　

　
　感染経路はネットワークのみで、その際は80・135ポートを使用し、blasterと同じ脆弱性を利用するほか(135)、対策の行われていないIISサービス(80) も利用します。
　これらの脆弱性はWindowsUpdateを行うことで解消されます。

　感染後の動作
　感染PCにblasterウイルスが存在した場合、それを削除し、自身の進入経路であった脆弱性に修正プログラムを適用します。
　（blasterの拡散を妨害しますが、この機能は不完全であり、少なくとも日本国内では無効です。
　　つまり、再感染のします。 )

　次に、大量のデータをネットワーク内に送信し、他のPCからの応答を待ちます。
　応答が確認されたIPアドレスに対して、詳細な探査を行います。
　対象が脆弱性が放置されているPCであった場合、ウイルスコードを送信し、感染させます。

影響について

　感染したPCは、ネットワークに対して莫大な量の探索データを放出し続けます。
　blasterなどは、対象IPアドレスをランダムに生成していたのに対して、welchiaは付近のIPアドレス全てに対して　満遍なく調査と攻撃を行います。
　（応答要求を、サブネット単位（xxx.xxx.xxx.1～255）に対して送り、応答のあったアドレスに対して、blasterと同じ手法で感染を試みます。
　　このとき、攻撃対象が感染条件を満たしている場合、確実に感染します。
　　1サブネットが終了すると、別のサブネットに対して同様の攻撃を試みます。）　
　
　感染PCは脆弱性が解消される・もしくは脆弱なPCが全て感染するまで、鼠算式に増え続けます。
　そのデータ量はblasterを遙かに凌ぐものであるため、ネットワーク速度の低下、断線が誘発されます。
　
　 (膨大な量の応答要求と、応答が回線を圧迫するため、正規のデータが流通しにくい状態になります。
　また、フィルタリング機器やルータなどの処理能力を超えた場合、ネットワークがダウンします。）　

ネットワーク

　福浦のルータ（福浦と八景、浦舟を結ぶネットワーク機器）が不定期にダウンを繰り返したことから、IDS（侵入検知システム・監視装置）にwelchia用モジュールを組み込みました。
　これにより、福浦キャンパス、浦舟、金沢八景、木原にも感染した機体が存在することが判明しています。
　
　 ※木原キャンパスは、内部のネットワークが10BASE-5であるため、速度の低下が顕著に現れていました。

　原因は感染したノートPCの持込によるものと推測されます。
　研究室フロアから感染が始まっているため、該当する機体の所有者が判別でき次第、こちらから連絡をとります。
　また、対策を行っていないWin2000・XPマシンは、リスクを回避するためにも

感染した場合の対処

１　感染が確認されたPCは周囲を攻撃し続けています。
　　速やかにLANケーブルを抜き、被害が拡大しないようにしてください。

２　対策が終了している（もしくは、Win98、Me、MacOSなどの感染対象を外れる）PCで、次のファイルをダウンロードして下さい。

　　　　FixWelch.exe　…symantec無償駆除ツール　
　　　　 2003/10/20日付けウイルス定義ファイル

　　　　感染したPCの該当するパッチをダウンロードしてください。
　　　　windowsXP用パッチ
　　　　 windows2000用パッチ
　　　　 windowsNT用パッチ

　　　　windows98・Me…感染対象からは外れていますが、亜種による感染が懸念されます。
　　　　後にWindowsupdateを行ってください。

４　以上のファイル３種類をMO、もしくはCD-Rなどにコピーしてください。
　　
５　感染しているPCを立ち上げ、管理者権限でログインします。（XP　Homeは通常通り）
　　先程のMOなどより、駆除ツールFixWelch.exeを実行し、駆除を行ってください。
　　実行後は指示に従い、再起動をしてください。

６　次に、20031020-009-i32.exeを実行し、ウイルス定義ファイルを更新してください。

７　OSに適合するパッチを実行してください。

８　ワクチンソフトからコンピュータの完全スキャン（全ドライブ）を行ってください。
　　ウイルスが検知されない、または検疫されている場合、
　　駆除に成功していますので、 LANケーブルを接続してください。
　　　　
９　Windowsupdateを行い、他の脆弱性を解消してください。　