✔ 最佳答案
Welchia, Sachi, WORM_MSBLAST.D, Nachi, W32.Nachi.worm, Win32.Nachi.A.Worm, Win32.Nachi.Worm, W32/Nachi-A
內容
W32.Welchia 蠕蟲利用兩個已知的漏洞:微軟 RPC 介面緩衝區超限能允許執行程式碼 (MS03-026) 和 微軟 IIS 5.0 緩衝區滿溢漏洞 (MS03-007).
(1) 這蠕蟲會利用 DCOM RPC 漏洞 W32.Blaster 蠕蟲 也使用到這漏洞。它會嘗試暫停和刪除 W32.Blaster 蠕蟲的程式,接著會安裝微軟 DCOM RPC 的修補程式,讓機器不會再受到 W32.Blaster 蠕蟲和它的變種感染。
這蠕蟲把自己複製到 " \Wins" 資料夾名 dllhost.exe 和建立新的服務 RpcPatch(描述是 "Network Connections Sharing") 和 RpcTftpd (描述是 "WINS Client")。之後它會檢查電腦控制系統的版本,Service Pack 版本,和系統語言地區和嘗試連接微軟的 WindowsUpdate 下載適當的 DCOM RPC 漏洞修補程式。
(2) 這蠕蟲會利用 IIS 5.0 網頁伺服器上的 WebDAV 漏洞。關於這漏洞的詳細資料見:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
當系統時鐘為 2004年1月1日,這蠕蟲會將自己刪除。
破壞力
注意: W32.Blaster 蠕蟲只攻擊視窗 NT 4, 視窗 2000 and 視窗 XP 的操作系統
傳送 ICMP 請求 (即 PING) 來掃瞄其他的電腦,結果增加了 ICMP 的交通流量,導致網絡變緩慢或變成廣泛的阻斷服務。
安裝 TFTP 伺服器在受感染的電腦中
嘗試清除 W32.Blaster 蠕蟲和安裝 RPC DCOM 修補程式 (但在視窗 2000 中它不會安裝 WebDAV 漏洞的修補程式)。
當感染失敗時,導致被攻擊的電腦當機或變得不安定。