code name: w32.welchia.worm

[+-]

Pojavio se "novi" worm: w32.welchia (D generacija MsBlast-a)....

Izmedju ostalog, za njega je specificno sljedece: ubacuje se na sistem obicno sa ftp sajtova, u Task manager-u pojavljuje se Dllhost.exe, virus (tj. worm koji je neka vrsta anti-virus virusa) se locira u winnt\system32\wins kao dllhost.exe.
Ddllhost.exe je inace regularni Winov DCOM modul za DLL-ove bazirane na COM objektima, ali ga ovaj worm kompletno zamjenjuje svojim file-om koji se zove isto, ali je mnogo veci.
Dllhost obicno ne mozete vidjeti u TM-u, sem u par prilicno rijetkih slucajeva.

Originalni dllhost.exe iznosi svega 5.76 KB, a ova zivuljka i do 12 KB.

Nakon toga pocinje ogomna ofanziva pokusaja skeniranja svih adresa na mreznom opsegu sa vaseg racunara....ako otvorite firewall log, to mozete vidjeti!

Naizgled, ne postoji nacin da ga obrisete, ali to je zato sto ovo parce crva podize svoj soptveni servis, koji izmedju ostalog mozete naci i u services.msc, pod imenom: wins client service! ctp;

Dakle, da biste obrisali file koji je inficiran, zaustavite servis, brisite file, a zatim, ukoliko imate NT service pack, pokrenite srvinstw.exe i deinstalirajte pomenuti servis!

Nakon toga, mozete slobodno iskopirati file sa Windows diksa nazad u pomenuti folder.

Takodje, vec su se pojavile posebne alatke za brisanje:

http://www.f-secure.com/v-descs/welchi.shtml

 

[D-KEE]

hmmm - meni je bio aktivan taj dllhost.exe (postoje 2 komada jedan tamo gde si naveo i drugi u system32... primetio sam a vec sam napomenuo u jednom topiku da na apsolutno cistoj masini (cak ni mail instlairan) imam povecan odlazni saobracaj... ni posle raznoraznih updateova nisam resio stvar... osim tog dllhost.exe fajla video sam da mi je podignut i alg.exe (kada sam otisao na njega i kliknuo propeties video sam da je to aplication layer gateway service koji je podignut.... cim sam disable-ovao service ni dllhost.exe se vise nije podizao!? a odlazni saobracaj je prestao (mada sam zaustavio jos poneke servise tako da nisam 100% siguran da li sam wins client (koji jesam zaustavio) uradio pre ili posle toga?!?)
no u svakom slucaju obratite paznju i na alg.exe - ne moze da skodi :mrgreen:

 

[Broz]

Malo kasnis, jer smo ga mi identifikovali pre dve nedelje...

 

[+-]

Svakako da nije potpuna novost....ovo je vec cetrvrta generacija, a koliko vidim, poslje nje postoje jos najmanje 2. Zmija je u posljednje vrijeme dozivjela mnogo mutacija, i sve rade kao exploiti za RPC i DCOM.

Ono sto je najbolje, jeste to da patch za rpc, na koji se oslanja veliki broj ljudi, vise ne funkcionise kada je u pitanju ova nova generacija....

: "pa skinuo sam patch, kako sad to?!" ,)

U posljednje vrijeme mnogo se raspravlja o stvarima kao sto su: ogroman upload, firewall koji vristi na svakih 3 sekunda, itd....pretpostavljam da nece da skodi da se stvar ponovo obznani na jednom mjestu...

Naravno, ako redovno posjecujete sajtove MS ili Symanteca, ovo vec svakako znate 8)

 

[apolon]

hmmm - meni je bio aktivan taj dllhost.exe (postoje 2 komada jedan tamo gde si naveo i drugi u system32... primetio sam a vec sam napomenuo u jednom topiku da na apsolutno cistoj masini (cak ni mail instlairan) imam povecan odlazni saobracaj... ni posle raznoraznih updateova nisam resio stvar... osim tog dllhost.exe fajla video sam da mi je podignut i alg.exe (kada sam otisao na njega i kliknuo propeties video sam da je to aplication layer gateway service koji je podignut.... cim sam disable-ovao service ni dllhost.exe se vise nije podizao!? a odlazni saobracaj je prestao (mada sam zaustavio jos poneke servise tako da nisam 100% siguran da li sam wins client (koji jesam zaustavio) uradio pre ili posle toga?!?)
no u svakom slucaju obratite paznju i na alg.exe - ne moze da skodi :mrgreen:

Taj alg.exe kod mene je stalno prisutan u TM, i samo svremena na vreme trazi pristup internetu (recimo jednom u deset dana), ali nikad nije pravio nikakav problem...

 

[lucky2001]

...

Ma dllhost je malo neverovatan i pored windows 2000 patch-a ,zaustavio sam Zone alarm na samo 9 secundi morao sam da promenim prioritete eto ga baja upada ko zmija nikog nepita i opet svchost error i stara prica, e izem ti Microsoftov patch ,bez zona mozes da se slikas!!!

Prokleti verat umesto da kompletno obustavi protok na 135-139 portu i vozdra dok se stvari ne regulisu nema bojazni!

 

[marko1101]

...



Taj alg.exe kod mene je stalno prisutan u TM, i samo svremena na vreme trazi pristup internetu (recimo jednom u deset dana), ali nikad nije pravio nikakav problem...

idi u servise i stopiraj Internet connection shering , pa vidi da li imas i dalje taj alg.exe u TM, ako ti netreba ICS eto resenja za alg.exe

 

[drapin]

Od ICS-a zavisi i Windows-ov ugradjeni firewall, tako da oni koji ga koriste ne bi trebali da iskljucuju taj servis.

 

[marko1101]

da to sam zaboravio da kazem , jer ja to odavno nekoristim , tesko da ce pomoci onima koji ga samo aktiviraju i ne podese, a tako ga koristi 90% korisnika

moj predlog instalirajte neki firewall i ugasite ICS servis

 

[apolon]

Bas kao ste objasnili, kad iskljucim ICS nema vise ni aplication layer gateway u TM. E sad, s obzirom na to koristim (vec dugo) Zone Alarm, prakticno mi XP-ov firewall i ne treba. Osim ako mogu da deluju singericki (a mozda i smetaju jedan dugome). Hvala u svakom slucaju. cheers
PS. Podesavanja Zone Alarm-a su mi dobro poznata, ali kako podesiti XP-ov firewall?

 

[dkurel]

Idite na http://www.grc.com i skinite DCOMbobulator. Resava problem! ctp;

 

[dkurel]

Evo vam i link za download:

http://grc.com/files/DCOMbob.exe type;

 

[Delija]

Da ne pocinjem novi thread...

Da li ovaj worm dovodi povremeno i do reseta sistema?

Prvo sam mislio da mi sistem puca zbog overclocka ili zbog harda, posto se u toku reseta gasio (hard!), a s vremena na vreme hoce da "klikne". Kod reseta na dugme hard se ne gasi - probao! Od kad sam ga skinuo nemam problema, ali rek'o cisto da proverim.