|||
Symantec.com > Security Response > W32.Welchia.Worm
IMPRIMIR ESTA PÁGINA

W32.Welchia.Worm

Nivel de riesgo 2: Bajo

Descargar herramienta de eliminación | Página de impresión

Detectado: 18 de Agosto de 2003
Actualizado: 13 de Febrero de 2007 12:10:18 PM
También conocido como: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo: Gusano
Longitud de la infección: 10,240 bytes
Sistemas afectados: Microsoft IIS, Windows 2000, Windows XP
Referencias CVE: CAN-2003-0109 CAN-2003-0352


Debido a la disminución en el número de notificaciones recibidas de esta amenaza, Symantec Security Response ha cambiado de Categoría 3 a Categoría 2 el nivel de esta amenaza a partir del 26 de febrero del 2004.

W32.Welchia.Worm es un gusano que explota múltiples vulnerabilidades:
  • Explota la vulnerabilidad de DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135. El gusano afecta específicamente equipos con Windows XP.
  • Explota la vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80. El gusano afecta específicamente a equipos que ejecutan Microsoft IIS 5.0. De igual forma, este gusano afectará equipos con Windows 2000 y puede afectar también equipos Windows NT/XP.

El gusano realiza las siguientes tareas:
  • Intenta descargar el parche DCOM RPC de Windows Update del sitio web de Microsofty después reinicia el equipo.
  • El gusano busca equipos activos para contaminarlos enviando una señal de eco (echo) ICMP o PING, lo cual resulta en un incremento de tráfico de ICMP.
  • El gusano también intenta eliminar al W32.Blaster.Worm.
Symantec Security Response ha desarrollado una herramienta de eliminación para limpiar contaminaciones de W32.Welchia.Worm.

Security Response ha proporcionado cierta información, para auxiliar los administradores de red en unir esfuerzas de mantener fuera de operación, a los equipos infectados por W32.Welchia.Worm en sus respectivas redes. Por favor vea el documento, "Detecting traffic due to RPC worms" (este recurso está en inglés) para mayor información.

Protección

  • Versión inicial de definiciones de Respuesta rápida 18 de Agosto de 2003
  • Última versión de definiciones de Respuesta rápida 25 de Agosto de 2009 revisión 024
  • Versión inicial de definiciones Certificadas diariamente 18 de Agosto de 2003
  • Última versión de definiciones Certificadas diariamente 26 de Agosto de 2009 revisión 004
  • Versión inicial de definiciones Certificadas semanalmente 18 de Agosto de 2003

Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Respuesta rápida y de las Certificadas diariamente.

Evaluación de las amenazas

Invasión

  • Nivel de invasión: Bajo
  • Número de infecciones: More than 1000
  • Número de sitios: More than 10
  • Distribución geográfica: Alta
  • Contención de las amenazas: Moderado
  • Eliminación: Moderado

Daño

  • Nivel del daño: Media
  • Elimina archivos: Elimina msblast.exe.
  • Desestabiliza el sistema: Equipos Windows 2000 vulnerables experimentarán inestabilidad en el sistema, debido al desplome del serivio RPC.
  • Pone en peligro la configuración de seguridad: Instala un servidor TFTP en todos los equipos infectados.

Distribución

  • Nivel de distribución: Media
  • Puertos: TCP 135(RPC DCOM), TCP 80(WebDav)

Artículo de: Frederic Perriot
Norton 360 Versión 3.0
©1995 - 2009 Symantec Corporation
Mapa del sitio|
Nota legal|
Política de privacidad|
Contáctenos|
Sitios mundiales|
Acuerdos de licencia