웰치아

웰치아 웜(The Welchia worm), 나치 웜(Nachi worm)은 블래스터 웜과 비슷하게 마이크로소프트 원격 프로시저 호출(RPC) 서비스의 취약성을 부적절하게 이용하는 컴퓨터 웜이다. 그러나 블래스터와 달리 우선 블래스터가 있는지 검색하고 있으면 삭제하며 그 뒤 블래스터에 의해 추가 감염을 막을 수 있는 마이크로소프트의 보안 패치들을 다운로드하고 설치하는 것을 시도함으로써 유용한 웜(helpful worm)으로 분류된다. 웰치아는 블래스터의 삭제에 성공적이었으나 마이크로소프트는 보안 패치를 적용하는 것이 무조건 성공적이지 못했다고 주장하였다.^[1]

이 웜은 마이크로소프트 윈도우 시스템 코드(TFTPD.EXE 및 TCP 포트 666~765, 그리고 포트 135의 RPC 버퍼 오버플로)의 취약성을 악용함으로써 시스템을 감염시켰다. 감염 방식은 원격 셸을 만들어 시스템에게 TFTP.EXE를 사용하여 웜을 다운로드하도록 지시하는 것이다. 더 구체적으로, 웰치아 웜은 윈도우 XP를 실행 중인 머신을 대상으로 하였다. 이 웜은 ICMP를 사용하였으며 일부 인스턴스에서는 ICMP 트래픽으로 인해 네트워크가 범람하면서 문제를 일으켰다.^[2]

2003년 9월, 이 웜은 미국 국무부의 컴퓨터망에서 발견되었으며 네트워크가 다운되어 복구에 9시간이 소요되었다.^[3]

같이 보기[편집]

블래스터 (컴퓨터 웜)

각주[편집]

↑ Bransford, Gene (2003년 12월 18일). “The Welchia Worm”. 《Global Information Assurance Certification》. en:SANS Institute. 2018년 11월 3일에 확인함.
↑ Naraine, Ryan (2003년 8월 19일). “'Friendly' Welchia Worm Wreaking Havoc”. InternetNews.com. 2018년 11월 3일에 확인함.
↑ Labott, Elise (2003년 9월 24일). “'Welchia worm' hits U.S. State Dept. network”. CNN. 2018년 11월 3일에 확인함.

외부 링크[편집]

Symantec information on Welchia / Nachi

[1] Bransford, Gene (2003년 12월 18일). “The Welchia Worm”. 《Global Information Assurance Certification》. en:SANS Institute. 2018년 11월 3일에 확인함.

[2] Naraine, Ryan (2003년 8월 19일). “'Friendly' Welchia Worm Wreaking Havoc”. InternetNews.com. 2018년 11월 3일에 확인함.

[3] Labott, Elise (2003년 9월 24일). “'Welchia worm' hits U.S. State Dept. network”. CNN. 2018년 11월 3일에 확인함.

[1]

[2]

[3]