W32.Welchia.Worm

Cuando W32.Welchia.Worm se ejecuta, realizará las siguientes tareas:

1. Se copia así mismo a:
   
   %System%\Wins\Dllhost.exe
   
   

   ---

   NOTA: %System% es una variable. El gusano busca la carpeta de Sistema y se copia así mismo en dicha localidad. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

   ---

   
   
2. Hace una copia de %System%\Dllcache\Tftpd.exe, como %System%\Wins\svchost.exe.
   
   

   ---

   NOTA: Svchost.exe es un programa legítimo, el cual no es malicioso, y por lo tanto los productos antivirus de Symantec no lo detectarán.

   ---

   
   
3. Agrega la sub-llave:
   
   RcpPatch
   
   y:
   
   RpcTftpd
   
   a la llave de registro:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicies
   
4. Crea los siguientes servicios:
   
   Nombre de Servicio: RpcTftpd
   Nombre de servicio visual: Network Connections Sharing
   Servicio Binario: %System%\wins\svchost.exe
   
   Este servicio será configurado para inicarse en forma manual.
   
   Nombre de Servicio: RpcPatch
   Nombre de servicio visual: WINS Client
   Servicio Binario: %System%\wins\dllhost.exe
   
   Este servicio será configurado para iniciarse en forma automática.
   
5. Finaliza el proceso de Msblast, y elimina el archivo %System%\msblast.exe que es insertado por el gusano, W32.Blaster.Worm.
   
6. El gusano seleccionará la dirección IP de la víctima de dos diversas maneras. También utilizará A.B.0.0 de la IP del equipo infectado de A.B.C.D y contará hacia arriba, o construirá una dirección IP al azar basado en algunas direcciones tipo hard-code.
   
   Después de seleccionar la dirección del comienzo, contará para arriba a través de la gama de las redes clase B, por ejemplo, si comienza en A.B.0.0, contará hasta por lo menos A.B.255.255.
   
7. El gusano enviará un eco ICMP o PING, para verificar si la dirección IP construida corresponde a un equipo activo en la red.
   
8. Una vez que el gusano identifica un equipo activo en la red, también enviará información al puerto TCP 135, para explotar la vulnerabilidad DCOM RPC o enviará información al puerto TCP 80 para explotar la vulnerabilidad de WebDav.
   
9. Crea un interprete de comandos remoto en el equipo host vulnerado que conectará de nuevo al equipo que lo atacó en un puerto aleatorio TCP entre el 666 y el 765 para recibir instrucciones.
   
   

   ---

   Nota: En la mayoría de los casos el puerto es el 707, debido a la forma en que interactua el modelo del gusano con la implementación de la rutina .dll de Windows.

   ---

   
   
10. Lanza el servidor de TFTP en el equipo que ataca, manda al equipo de la víctima conectarse y descargar Dllhost.exe y Svchost.exe de la máquina que ataca. Si existe el archivo, %System%\dllcache\tftpd.exe, el gusano puede que no descargue el archivo svchost.exe.
    
11. Verifica la versión del sistema operativo, el número del Service Pack y el sistema local e intenta conectarse al sitio de Microsoft para descargar el parche apropiado de la vulnerabilidad DCOM RPC.
    
12. Una vez descargado y ejecutado, el gusano reiniciará la computadora para concluir la instalación.
    
13. Verifica la fecha en el sistema de la computadora. Si el año es el 2004 el gusano será deshabilitado y se eliminará por si mismo, de la siguiente forma:
    
    • Elimina el archivo %System%\Wins\Dllhost.exe
      
    • Elimina los servicios RpcPatch y RpcTftpd, además retira las claves de registro asociadas:
      
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
      
      

El gusano no borra el archivo, %System%\Wins\Svchost.exe, el cual es un servidor no maligno tftp.



---

Notas:
• El gusano activa su rutina de eliminación sólo si se inicio en el año 2004. Si el gusano se ha estado ejecutando en forma continua desde el año 2003, no se eliminará por si mismo hasta después del 1o de enero del 2004, a menos que a menos que usted reinicie manualmente el equipo o el gusano.
• La herramienta de eliminación de W32.Welchia.Worm continuará trabajando de manera normal en el año 2004.

  ---

Intruder Alert
El 19 de agosto del 2003, Symantec liberó Intruder Alert 3.6 W32_Welchia_Worm Policy.

Norton Internet Security/Norton Internet Security Professional
El 20 de agosto 2003, Symantec liberó firmas IDS por medio de LiveUpdate para detectar la actividad de W32.Welchia.Worm.

Symantec Client Security
El 20 de agosto 2003, Symantec liberó firmas IDS por medio de LiveUpdate para detectar la actividad de W32.Welchia.Worm.

Symantec ManHunt

• La tecnología de Symantec ManHunt Protocol Anomaly Detection detecta la actividad asociada con esta vulnerabilidad "Portsweep." Aunque ManHunt puede detectar actividad asociada con la tecnología Protocol Anomaly Detection, usted puede usar la firma personalizada "Microsoft DCOM RPC Buffer Overflow", liberado en Security Update 4, para identificar específicamente esta amenaza.
• Security Update 7 se ha liberado con la firma específica para W32.Welchia.Worm para incluir la detección de W32.Welchia.Worm y más atributos.

Symantec Gateway Security

• El 18 de agosto del 2003, Symantec liberó una actualización para Symantec Gateway Security 1.0.
• La tecnología completa inspection firewall technology de Symantec protege contra esta vulnerabilidad, bloqueando todos los puertos TCP arriba mencionados, en forma predeterminada. Para máxima seguridad, la tercera generación de la tecnología bloquea en forma inteligente haciendo un túnel de tráfico de DCOM sobre los canales del HTTP de esta forma, proporciona una capa adicional que no se encuentra fácilmente en los firewalls de filtración en una red común.

Symantec Host IDS
El 19 de agosto del 2003, Symantec liberó una actualización para Symantec Host IDS 4.1.

Recomendaciones

Symantec Security Response invita a todos los usuarios y administradores a adoptar las siguientes "mejores prácticas" básicas de seguridad:

• Desactive y quite los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como servidores de FTP, telnet y servidores de web. A través de estos servicios ocurren buena parte de los ataques. Si se quitan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que alojan servicios públicos, a los que se puede acceder a través de algún firewall, como servicios HTTP, FTP, de correo y DNS (por ejemplo: todos los equipos basados en Windows deben tener instalado el Service Pack actual).. Además, aplique cualquiera de las actualizaciones de seguridad que se mencionan en este artículo, en boletines de seguridad confiables o en sitios Web del proveedor.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños o a reducir el daño cuando se ataca a un equipo.
• Configure el servidor de correo electrónico para que bloquee o elimine los mensajes que contengan adjuntos que se utilizan comúnmente para distribuir virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Separe rápidamente los equipos infectados para evitar que pongan en peligro otros equipos de la organización. Realice un análisis forense y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran adjuntos a menos que los estén esperando. No ejecute el software descargado desde Internet, a menos que lo haya analizado previamente en busca de virus. La sola visita a un sitio Web infectado puede infectar su sistema si ciertas vulnerabilidades del navegador no se corrigieron con los parches.

Resumen