Information-technology Promotion Agency, Japan
本文へ
 IPA

トップ|電子申請|お問い合わせ|サイトマップ
独立行政法人 情報処理推進機構






セキュリティセンター 誰もが「安心」してコンピュータを利用できる環境を構築するために、情報セキュリティ対策の強化・整備を推進します。







English



緊急対策情報



届出


届出ウイルス一覧




ウイルスの届出




不正アクセスの届出




脆弱性関連情報の届出





情報セキュリティ対策


ウイルス対策




新種ウイルス情報




不正アクセス対策




脆弱性関連情報の取扱い




読者層別 対策実践情報





暗号技術


CRYPTREC





セキュリティ評価・認証


JISEC





セミナー・イベント



資料・報告書等


調査・研究報告書




開発成果紹介




セキュリティ関連RFC




PKI関連技術情報





公募



IPA/ISEC PGP公開鍵



サポート情報


ウイルスデータベース




用語集




FAQ(よくある質問)




セキュリティ関連リンク





IPAセキュリティセンターについて




IPAトップ>セキュリティセンター>ウイルス対策>記事


「W32/Welchia」ワームに関する情報


最終更新日:2004年 2月25日
更新履歴


2003年 8月19日
独立行政法人 情報処理推進機構
セキュリティセンター(IPA/ISEC)



※追記すべき情報がある場合には、その都度このページを更新する予定です。


注意!

2003年 8月24日 17:00 時点における IPA/ISEC への W32/Welchia についての相談・届出は、累計で70件程度にとどまっています。

しかし、IPA/ISEC にあるネットワーク観測システムでは、ICMP パケットについて高いレベルで推移していることを認識しており、このことから修正プログラムの適用のみを実施し、ワームの駆除を実施していないユーザが多数存在していることが推察されます。

ワームに感染したままの状態では、他者に対する感染が継続して行われるとともに、インターネット上に ICMP パケットが増加することによるネットワーク障害が懸念されます。

そこで、全ての Windows ユーザは、コンピュータに異常な症状が見られない場合でも、以下のサイトにてウイルスチェックを実施して頂くようお願い致します。

ウイルスチェックサイト

トレンドマイクロ(ウイルスバスターオンラインスキャン):
http://www.trendmicro.co.jp/hcall/scan.htm
シマンテック(ウイルススキャン):
http://www.symantec.com/region/jp/securitycheck/index.html




マイクロソフト社の Windows RPC にあるセキュリティ脆弱性(MS03-026)およびWebDAVのセキュリティ脆弱性(MS03‐007)を攻略するワームが2003年 8月18日に発見されました。

IPA/ISEC が有する環境では、インターネット上で、「このワームによるものと推察されるICMPリクエストが、毎日、ユーザの利用時間に増加する周期性があるが根本的には低下していないこと」を観測しています。



グラフは18日0時00分から28日13時00分までを11時間間隔で示し、日本、アメリカ合衆国、台湾、ドイツ、韓国、中華人民共和国、香港、ブラジル、イギリス、その他、及び全体を折れ線グラフで現している。



W32/MSBlasterワームと同様の脆弱性を悪用していますので、下記概要にある修正プログラムの適用を早急に実施してください。

なお、Windows XPにおける一連の復旧手順については、下記文書をご覧下さい。

W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について
(Windows XP用、Ver.1.4a)PDFファイル(557 KB)



概要

このワームは、ランダムなIPアドレスに対して Ping を発信し、応答があったIPアドレスの 135/TCP に接続します。その際、下記のセキュリティ脆弱性を攻略し、Windows XP の場合は Windows\system32\wins フォルダ、Windows 2000の場合はWinNT\system32\wins フォルダに dllhost.exe、svchost.exe という名のファイルをダウンロードし、実行を試みます。

「RPC インターフェースのバッファオーバーランによりコードが実行される(MS03-026)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp

「Windows コンポーネントの未チェックのバッファにより Web サーバーが侵害される(MS03-007)」
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

このワームが実行されると、W32/MSBlaster ワームに感染しているパソコンでは、msblast.exe のプロセスを停止し、そのファイルの削除を行います。また、下記レジストリに登録することで、再起動したときに実行されるようにします。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch

その後、感染対象のコンピュータをランダムに検索し、感染拡大を試みます。

また、言語環境が英語、中国語、韓国語の場合には、上記(MS03-026)の修正プログラムをマイクロソフト社のサイトからダウンロードし、インストールします。これにより、脆弱性の一つは解消されます。
(※ 日本語環境では修正プログラムのインストールは行われません。)

さらに、感染したシステムの日付が 2004年になると活動を停止します。



このワームが感染する可能性がある対象 OS

・Windows NT Server 4.0
・Windows NT Server 4.0,Terminal Server Edition
・Windows NT Workstation 4.0
・Windows 2000
・Windows XP
・Windows Server 2003



感染してしまったコンピュータからワームを駆除・修復する方法

修復ツールによる方法:

無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法が有効です。各ベンダーが記述している 「使用上の注意」をよく読み自己の責任において使用してください

既に MS03-026 のセキュリティ脆弱性について修正プログラムを適用したコンピュータと、今回のワームが感染しない Windows Me 等の OS で動作するコンピュータを、これらの修復ツールをダウンロードするために使って、フロッピーディスクや USB メモリー等のメディアに保存して、感染してしまったコンピュータに運ぶことができます。

修復ツール提供サイト

日本ネットワークアソシエイツ:
http://www.nai.com/japan/security/stinger.asp
トレンドマイクロ:
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
シマンテック:
http://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
アンラボ:
http://japan.ahnlab.com/download/vdn_view.asp?num=19&pagecnt=1
日本エフセキュア:
http://www.f-secure.co.jp/v-descs/v-descs3/welchi.htm
ラック:
http://www.lac.co.jp/security/jsoc/tool/download/download.htm

手動による方法:

「マイコンピュータ」を右クリックし、[管理] をクリックします。「コンピュータの管理」のウインドウが起動します。そこで、[サービスとアプリケーション] から [サービス] を開きます。名前のところに、「Network Connections Sharing」と「WINS Client」があれば、停止してください。

次に、Windows\system32\winsフォルダに作成されたプログラムファイル dllhost.exeおよび svchost.exe を削除してください。

注意: Windowsには違うフォルダに同名の dllhost.exe、svchost.exeファイルがありますので、間違えて削除しないようにしてください。

※ 再感染を防止するため、上記いずれかの方法にて対処されたあとは、[MS03-026]および [MS03-007]のセキュリティ脆弱性の修正プログラムの適用を実施してください。



参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

アンラボ:(Win32/Welchia.worm.10240)
http://japan.ahnlab.com/virusinfo/view.asp?seq=736
コンピュータアソシエイツ(Win32.Nachi.A)
http://www.caj.co.jp/virusinfo/2003/win32_nachi_a.htm
シマンテック:(W32.Welchia.Worm)
http://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.worm.html
トレンドマイクロ:(WORM_MSBLAST.D)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D
日本エフセキュア:(Welchi)
http://www.f-secure.co.jp/v-descs/v-descs3/welchi.htm
日本ネットワークアソシエイツ:(W32/Nachi.worm)
http://www.nai.com/japan/security/virN.asp?v=W32/Nachi.worm
ソフォス:(W32/Nachi-A)
http://www.sophos.co.jp/virusinfo/analyses/w32nachia.html


ウイルス対策のトップページこちらをご覧ください。



更新履歴

2004年 2月25日

「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.3)」を更新。

2003年12月24日

W32/Welchi から W32/Welchiaへと名称を変更。
「W32/Welchia ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.2)」及び「W32/MSBlaster(Blaster)ワームまたはW32/Welchia(Nachi)ワームに感染した場合の復旧方法について(Windows XP用、Ver.1.2)」を更新。

2003年 9月11日

W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を更新(Ver.1.1)。

2003年 9月 1日

W32/MSBlaster(Blaster)ワームまたはW32/Welchi(Nachi)ワームに感染した場合の復旧方法について( Windows XP用 )を追加。

2003年 8月29日

インターネット上のパケット観測図を更新。

2003年 8月27日

インターネット上のパケット観測図を更新。

2003年 8月26日

インターネット上のパケット観測図を更新、修復ツール提供サイトを追加。

2003年 8月25日

インターネット上のパケット観測図を更新、相談・届出件数を更新、修復ツール提供サイトを追加。

2003年 8月22日

インターネット上のパケット観測図を更新、相談・届出件数を更新。W32/Welchi ワームに感染した場合の復旧方法について(Windows XP用)をVer.1.1に更新。

2003年 8月21日

インターネット上のパケット観測図を更新。概要に一部追記。概要の記述を修正。

2003年 8月20日

ウイルスチェックの必要性、概要、修復方法を追記。インターネット上のパケット観測図を更新。
W32/Welchi ワームに感染した場合の復旧方法について(Windows XP用)を掲載。

2003年 8月19日

掲載。





ご利用条件


Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004