1. /
  2. Security Response/
  3. W32.Welchia.Worm
  4. W32.Welchia.Worm
  • Ajouter

W32.Welchia.Worm

Niveau de risque2 : Faible

Découvert :
18 Août 2003
Mis à jour :
13 Février 2007 12:09:01 PM
Egalement appelé :
W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Type :
Worm
Etendue de l'infection :
10 240 octets
Systèmes affectés :
Microsoft IIS, Windows 2000, Windows XP
Références CVE :
CAN-2003-0109 CAN-2003-0352

En raison du nombre réduit de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 08.10.03, du Niveau 4 au Niveau 3.

W32.Welchia.Worm est un ver qui exploite de multiples vulnérabilités :
  • Il exploite la vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
  • Il exploite la vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Le ver vise particulièrement les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'exploit tel qu'il est codé dans le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.

Le ver W32.Welchia.Worm agit ainsi :
  • Il tente de télécharger le correctif DCOM RPC sur le site Windows Update de Microsoft et de l'installer, puis il réinitialise l'ordinateur.
  • Il recherche des machines actives à infecter en envoyant un écho ICMP, ou PING, qui se traduira par un trafic ICMP plus élevé.
  • Il tente également de supprimer W32.Blaster.Worm.

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.Worm.

Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Welchia.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release18 Août 2003
  • Dernière version des définitions Rapid Release24 Juin 2014 révision 006
  • Version initiale des définitions Daily Certified18 Août 2003
  • Dernière version des définitions Daily Certified10 Juin 2013 révision 007
  • Date de la version initiale des définitions Weekly Certified18 Août 2003
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :More than 1000
  • Nombre de sites :More than 10
  • Répartition géographique :High
  • Contrôle de la menace :Moderate
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Medium
  • Supprime des fichiers :supprime msblast.exe.
  • Cause l'instabilité du système :Les machines Windows 2000 vulnérables rencontreront des problèmes d'instabilité du système en raison de l'arrêt du service RPC.
  • Compromet les paramètres de sécurité :Installe un serveur TFTP sur toutes les machines infectées.

Distribution

  • Niveau de distribution :Medium
  • Ports :TCP 135(RPC DCOM), TCP 80(WebDav)
Rédigé par :Frederic Perriot