HOME情報セキュリティ情報セキュリティ対策ウイルス対策新種「W32/Welchia」ワームに関する情報

本文を印刷する

情報セキュリティ

新種「W32/Welchia」ワームに関する情報

2003年 8月19日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)

※追記すべき情報がある場合には、その都度このページを更新する予定です。

注意!

2003年 8月24日 17:00 時点における IPA/ISEC への W32/Welchia についての相談・届出は、累計で70件程度にとどまっています。

しかし、IPA/ISEC にあるネットワーク観測システムでは、ICMP パケットについて高いレベルで推移していることを認識しており、このことから修正プログラムの適用のみを実施し、ワームの駆除を実施していないユーザが多数存在していることが推察されます。

ワームに感染したままの状態では、他者に対する感染が継続して行われるとともに、インターネット上に ICMP パケットが増加することによるネットワーク障害が懸念されます。

そこで、全ての Windows ユーザは、コンピュータに異常な症状が見られない場合でも、以下のサイトにてウイルスチェックを実施して頂くようお願い致します。

ウイルスチェックサイト

マイクロソフト社の Windows RPC にあるセキュリティ脆弱性(MS03-026)およびWebDAVのセキュリティ脆弱性(MS03‐007)を攻略するワームが2003年 8月18日に発見されました。

IPA/ISEC が有する環境では、インターネット上で、「このワームによるものと推察されるICMPリクエストが、毎日、ユーザの利用時間に増加する周期性があるが根本的には低下していないこと」を観測しています。

グラフは18日0時00分から28日13時00分までを11時間間隔で示し、日本、アメリカ合衆国、台湾、ドイツ、韓国、中華人民共和国、香港、ブラジル、イギリス、その他、及び全体を折れ線グラフで現している。

W32/MSBlasterワームと同様の脆弱性を悪用していますので、下記概要にある修正プログラムの適用を早急に実施してください。

なお、Windows XPにおける一連の復旧手順については、下記文書をご覧下さい。

W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について
(Windows XP用、Ver.1.4a)PDFファイル(557 KB)

概要

このワームは、ランダムなIPアドレスに対して Ping を発信し、応答があったIPアドレスの 135/TCP に接続します。その際、下記のセキュリティ脆弱性を攻略し、Windows XP の場合は Windows\system32\wins フォルダ、Windows 2000の場合はWinNT\system32\wins フォルダに dllhost.exe、svchost.exe という名のファイルをダウンロードし、実行を試みます。

「RPC インターフェースのバッファオーバーランによりコードが実行される(MS03-026)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp

「Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される(MS03-007)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

このワームが実行されると、W32/MSBlaster ワームに感染しているパソコンでは、msblast.exe のプロセスを停止し、そのファイルの削除を行います。また、下記レジストリに登録することで、再起動したときに実行されるようにします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch

その後、感染対象のコンピュータをランダムに検索し、感染拡大を試みます。

また、言語環境が英語、中国語、韓国語の場合には、上記(MS03-026)の修正プログラムをマイクロソフト社のサイトからダウンロードし、インストールします。これにより、脆弱性の一つは解消されます。
(※ 日本語環境では修正プログラムのインストールは行われません。)

さらに、感染したシステムの日付が 2004年になると活動を停止します。

このワームが感染する可能性がある対象 OS

  • Windows NT Server 4.0
  • Windows NT Server 4.0,Terminal Server Edition
  • Windows NT Workstation 4.0
  • Windows 2000
  • Windows XP
  • Windows Server 2003

感染してしまったコンピュータからワームを駆除・修復する方法

修復ツールによる方法:

無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している 「使用上の注意」をよく読み、自己の責任において使用してください

既に MS03-026 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータを、これらの修復ツールをダウンロードするために使って、フロッピーディスクや USB メモリー等のメディアに保存して、感染してしまったコンピュータに運ぶことができます。

修復ツール提供サイト

手動による方法:

「マイコンピュータ」を右クリックし、[管理] をクリックします。「コンピュータの管理」のウインドウが起動します。そこで、[サービスとアプリケーション] から [サービス] を開きます。名前のところに、「Network Connections Sharing」と「WINS Client」があれば、停止してください。

次に、Windows\system32\winsフォルダに作成されたプログラムファイル dllhost.exeおよび svchost.exe を削除してください。

注意: Windowsには違うフォルダに同名の dllhost.exe、svchost.exeファイルがありますので、間違えて削除しないようにしてください。

※ 再感染を防止するため、上記いずれかの方法にて対処されたあとは、[MS03-026]および [MS03-007]のセキュリティ脆弱性の修正プログラムの適用を実施してください。

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2004年 2月25日 「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.3)」を更新
2003年12月24日 W32/Welchi から W32/Welchiaへと名称を変更。
「W32/Welchia ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.2)」及び「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.2)」を更新。
2003年 9月11日 W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を更新(Ver.1.1)。
2003年 9月 1日 W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を追加。
2003年 8月29日 インターネット上のパケット観測図を更新。
2003年 8月27日 インターネット上のパケット観測図を更新。
2003年 8月26日 インターネット上のパケット観測図を更新、修復ツール提供サイトを追加。
2003年 8月25日 インターネット上のパケット観測図を更新、相談・届出件数を更新、修復ツール提供サイトを追加。
2003年 8月22日 インターネット上のパケット観測図を更新、相談・届出件数を更新。W32/Welchi ワームに感染した場合の復旧方法について(Windows XP用)をVer.1.1に更新。
2003年 8月21日 インターネット上のパケット観測図を更新。概要に一部追記。概要の記述を修正。
2003年 8月20日 ウイルスチェックの必要性、概要、修復方法を追記。インターネット上のパケット観測図を更新。
W32/Welchi ワームに感染した場合の復旧方法について(Windows XP用)を掲載。
2003年 8月19日 掲載。