Worm.Welchia

病毒名称:

Worm.Welchia

类别： 蠕虫病毒

病毒资料：

1.程序将系统目录的dllcache\tFTPd.exe拷贝到 wins\svchost.exe，注册为服务 "RpcTftpd"

把自己拷贝到wins\DLLHOST.EXE，注册为服务"RpcPatch"

2.终止内存中的msblast，并删除相应文件。

3.如果是2004年，卸载两个服务上述两个服务；并退出系统，将自己删除。

4.病毒通过检测本机的注册表来判断是否已经安装RPC漏洞补丁如果本地机器没有打补丁，下载微软的补丁程序到本地 "RpcServicePack.exe"，加入参数“ -n -o -z -q”，运行补丁程序。运行完后删除补丁文件，重起机器。

5.病毒随后通过Ping网络上的机器来进行传播，如果ping成功，则试图通过RPC漏洞侵入远程机器，进入下一次传播流程。

破坏方法:

1.由于病毒的特殊传播方式，可能造成网络交通堵塞

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-8-15