疾風殺手 Welchi_Worm ，幹好事也幹壞事
中毒電腦成駭蟲發送器，癱瘓網路

網路又出現新的漏洞駭蟲【疾風殺手】 Welchi_Worm，利用二個已知的系統漏洞 DCOM/RPC Buffer Overflow 漏洞與 IIS 5.0 的 WebDAV 漏洞，分別使用 TCP Port 135 與 80 入侵電腦，受影響的系統包含 Windows 2000/XP 系統。
中毒的電腦會自動再入侵其它有漏洞的機器，也會自動下傳 Dllhost.exe 到 Windows 的 System32\Wins 目錄內執行。
利用系統提供的 tftpd.exe 備份到 Windows 的 System32\Wins 目錄內為 Svchost.exe ，並開啟 TFTP Server ，讓遠端的電腦可以下傳 Dllhost.exe 駭蟲檔案。
疾風殺手 Welchi_Worm 入侵後會關掉疾風病毒 Msblast_Worm，並自行到微軟更新網站下傳 DCOM/RPC Buffer Overflow 漏洞修補檔進行修補。
疾風殺手在2004年1月1日之後，駭蟲功能將不啟動。
金帥 ZLOCK 【先知防禦技術 --- RPC 防漏 】可以在還沒修補漏洞前提醒使用者修補漏洞並可以關掉 DCOM/RPC 服務，以免連上網路後駭蟲又入侵。

微軟已提供修補漏洞程式：
DCOM/RPC Buffer Overflow 漏洞修補檔 MS03-026
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin /MS03-026.asp
IIS 5.0 的 WebDAV 漏洞修補檔 MS03-007
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin /MS03-007.asp

Welchi_Worm 駭蟲行為：
1. 利用二個已知的系統漏洞 DCOM/RPC Buffer Overflow 漏洞與 IIS 5.0 的 WebDAV 漏洞，分別使用 TCP Port 135 與 80 入侵電腦，受影響的系統包含 Windows 2000/XP 系統。
2. 中毒的電腦會自動再入侵其它有漏洞的機器，也會自動下傳 Dllhost.exe 到 Windows 的 System32\Wins 目錄內執行。
3.利用系統提供的 tftpd.exe 備份到 Windows 的 System32\Wins 目錄內為 Svchost.exe ，並開啟 TFTP Server ，讓遠端的電腦可以下傳 Dllhost.exe 駭蟲檔案。
4. 修改系統服務功能，新增加 "Network Connections Sharing" 與 "WINS Client" 二個服務，使開機即啟動駭蟲。
5. 隨機產生 IP 入侵其它電腦。
6. 疾風殺手 Welchi_Worm 入侵後會關掉疾風病毒 Msblast_Worm，並自行到微軟更新網站下傳 DCOM/RPC Buffer Overflow 漏洞修補檔進行修補。
7. 中毒電腦成駭蟲發送器，癱瘓網路。
8. 疾風殺手在2004年1月1日之後，駭蟲功能將不啟動。
9. 駭蟲內含訊息(沒有顯示出來)：
=========== I love my wife & baby :)
~~~ Welcome Chian~~~Notice: 2004 will remove myself:)
~~ sorry zhongli~~~=========== wins

如何自行檢查是否中毒：
檢查 Windows 的 System32\Wins 目錄內是否有 Dllhost.exe 與 Svchost.exe 檔案，發現檔案時可以刪除。
注意：正常的系統檔案 Dllhost.exe 與 Svchost.exe 是存在 Windows 的 System32 目錄內，請勿殺掉。

手動清除方法：
1. 開機至安全模式下(開機後，點選 F8，選擇安全模式進入)。
2. 刪除 Windows 的 System32\Wins 目錄下的 Dllhost.exe 與 Svchost.exe 檔案。

如何在尚未更新漏洞前不受駭蟲入侵：
1.開始→控制台→系統管理工具→元件服務
2.至我的電腦→按滑鼠右鍵→選內容(圖一)。
3.到【預設內容】→停用【在此電腦上啟用分散式 COM】(圖二)：

　　

　　圖一


　　

　　圖二

4.修補漏洞後再依步驟3，重新開放【在此電腦上啟用分散式 COM】。