||||
Symantec.com > Security Response > W32.Welchia.Worm
IMPRIMEZ CETTE PAGE

W32.Welchia.Worm

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 18 Août 2003
Mis à jour : 13 Février 2007 12:09:01 PM
Egalement appelé : W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Type : Ver
Etendue de l'infection : 10 240 octets
Systèmes affectés : Microsoft IIS, Windows 2000, Windows XP
Références CVE : CAN-2003-0109 CAN-2003-0352


En raison du nombre réduit de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 08.10.03, du Niveau 4 au Niveau 3.

W32.Welchia.Worm est un ver qui exploite de multiples vulnérabilités :
  • Il exploite la vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
  • Il exploite la vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Le ver vise particulièrement les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'exploit tel qu'il est codé dans le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.

Le ver W32.Welchia.Worm agit ainsi :
  • Il tente de télécharger le correctif DCOM RPC sur le site Windows Update de Microsoft et de l'installer, puis il réinitialise l'ordinateur.
  • Il recherche des machines actives à infecter en envoyant un écho ICMP, ou PING, qui se traduira par un trafic ICMP plus élevé.
  • Il tente également de supprimer W32.Blaster.Worm.

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.Worm.

Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Welchia.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.

Protection

  • Version initiale des définitions Rapid Release 18 Août 2003
  • Dernière version des définitions Rapid Release 25 Août 2009 révision 024
  • Version initiale des définitions Daily Certified 18 Août 2003
  • Dernière version des définitions Daily Certified 26 Août 2009 révision 004
  • Date de la version initial des définitions Weekly Certified 18 Août 2003

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence : Faible
  • Nombre d'infections : More than 1000
  • Nombre de sites : More than 10
  • Distribution géographique : Elevé
  • Contrôle de la menace : Modéré
  • Suppression : Modéré

Dommages

  • Niveau de dommage : Moyen
  • Supprime les fichiers : supprime msblast.exe.
  • Entraîne l'instabilité du système : Les machines Windows 2000 vulnérables rencontreront des problèmes d'instabilité du système en raison de l'arrêt du service RPC.
  • Compromet les paramètres de sécurité : Installe un serveur TFTP sur toutes les machines infectées.

Distribution

  • Niveau de distribution : Moyen
  • Ports : TCP 135(RPC DCOM), TCP 80(WebDav)

Ecrit par : Frederic Perriot
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.