据了解,该病毒为一种“分区表”杀手病毒,而率先披露该病毒的是北京的一家反病毒中心。据介绍,该病毒运行后会首先读取注册表的一个键值,并判定当前操作系统的类型,如果是简体中文操作系统,该病毒会自动退出运行,不会对电脑产生任何影响;如果是日本语言或印度尼西亚语言操作系统,该病毒则会破坏硬盘分区表,自动向电脑硬盘中填充垃圾数据,进而造成系统重启后无法找到引导系统,并最终导致电脑彻底瘫痪;而如果是英文系统,则也会自动退出但同时弹出“Your luck‘s so good!(这显然是句中国式英语,字面直译应该是”你运气真好“)”的对话框。
如果用户使用的是日文系统,那当系统时间为8月15日(日本投降日)时,病毒会在系统目录里释放一个“win.com”文件,在屏幕上显示“You can not continue,because your country―――Japan Killed 40,000,000 peoples since 1894-1945!!!!!”(你的机器完蛋了,因为你的国家―――日本在1894年-1945年间杀害了4000万人!)然后强制系统死机。 作者: 最美我中文 时间: 2007-10-17 19:22
W32.Welchia.B.Worm 是 W32.Welchia.Worm 的变种。如果受感染计算机上安装的是中文、朝鲜语或英语版的操作系统,则该蠕虫将尝试从 Microsoft® Windows Update 网站下载 Microsoft 工作站服务中的缓冲区溢出可能允许执行代码 和 Microsoft Messenger 服务中的缓冲区溢出可能允许代码执行 补丁,然后安装补丁并重新启动计算机。
该蠕虫还尝试删除 W32.Mydoom.A@mm 和 W32.Mydoom.B@mm 蠕虫。
W32.Welchia.B.Worm 利用多个漏洞,包括:
通过 TCP 端口 135 利用 DCOM RPC 漏洞(如Microsoft 安全公告 MS02-026 中所述)。该蠕虫利用此漏洞专门攻击 Windows XP 计算机。
通过 TCP 端口 80 利用 WebDav 漏洞(如 Microsoft 安全公告 MS03-007 中所述)。该蠕虫利用此漏洞专门攻击运行 Microsoft IIS 5.0 的计算机。该蠕虫利用这些漏洞,将会影响 Windows 2000 系统,并可能影响 Windows NT/XP 系统。
通过 TCP 端口 445 利用 Workstation 服务缓冲区溢出漏洞(如 Microsoft 安全公告 MS03-049 中所述)。
通过 TCP 端口 445 利用 Locator 服务漏洞(如 Microsoft 安全公告 MS03-001 中所述)。该蠕虫利用此漏洞专门攻击 Windows 2000 计算机。