||||
Symantec.com > Security Response > W32.Welchia.Worm
IMPRIMEZ CETTE PAGE

W32.Welchia.Worm

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 18 Août 2003
Mis à jour : 13 Février 2007 12:09:01 PM
Egalement appelé : W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Type : Ver
Etendue de l'infection : 10 240 octets
Systèmes affectés : Microsoft IIS, Windows 2000, Windows XP
Références CVE : CAN-2003-0109 CAN-2003-0352


Lorsque W32.Welchia.Worm s'exécute, il réalise les opérations suivantes :
  1. Il se copie sous :

    %System%\Wins\Dllhost.exe

    Remarque : %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie sur cet emplacement. Par défaut, il s'agit de C:\Winnt\System32 (Windows 2000) ou C:\Windows\System32 (Windows XP).
  2. Il fait une copie de %System%\Dllcache\Tftpd.exe qu'il nomme %System%\Wins\svchost.exe.

    Remarque : Tftpd est un programme légitime, non malveillant, que les produits antivirus de Symantec ne détectent pas.
  3. Il ajoute les sous-clés :

    RpcPatch

    et :

    RpcTftpd

    à la clé de registre :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

  4. Il crée les services suivants :

    Nom du service : RpcTftpd
    Nom complet du service : Partage connexions réseau
    Binaire du service : %System%\wins\svchost.exe

    Ce service sera configuré de façon à être démarré manuellement.

    Nom du service : RpcPatch
    Nom complet du service : Client WINS
    Binaire du service : %System%\wins\dllhost.exe

    Ce service sera configuré de façon à démarrer automatiquement.
  5. Il termine le processus Msblast et supprime le fichier %System%\msblast.exe qui est déposé par le ver W32.Blaster.Worm.
  6. Il sélectionne l'adresse IP victime de deux façons différentes. Il utilise A.B.0.0 à partir de l'adresse IP A.B.C.D de la machine infectée et compte à partir de là, ou il élabore une adresse IP aléatoire basée sur des adresses codées en dur.

    Après avoir sélectionné l'adresse de départ, il compte à partir d'une gamme de réseaux de Classe B. Par exemple, s'il commence à A.B.0.0, il comptera au moins jusqu'à A.B.255.255.
  7. Le ver envoie une requête d'écho ICMP, ou PING, afin de vérifier si l'adresse IP élaborée appartient à une machine active du réseau.
  8. Dès que le ver identifie qu'une machine est bien active sur le réseau, il envoie des données sur le port TCP 135 qui exploite la vulnérabilité DCOM RPC, ou il envoie des données sur le port TCP 80 afin d'exploiter la vulnérabilité WebDav.
  9. Il crée un shell distant sur l'hôte vulnérable qui se reconnectera alors sur l'ordinateur réalisant l'attaque, sur un port TCP aléatoire, entre 666 et 765, et attendra les instructions.
    Remarque : Dans la plupart des cas, il s'agit du port 707, en raison de la façon dont le modèle de thread du ver interagit avec l'implémentation de la .dll runtime pour Windows C.
  10. Il lance le serveur TFTP sur la machine réalisant l'attaque, ordonne à la machine victime de se connecter à la machine réalisant l'attaque et de télécharger Dllhost.exe et Svchost.exe. Si le fichier %System%\dllcache\tftpd.exe existe, il est possible que le ver ne télécharge pas svchost.exe.
  11. Il vérifie la version du système d'exploitation de l'ordinateur, le numéro de Service Pack, et System Locale puis tente de se connecter au site Windows Update de Microsoft et de télécharger le correctif approprié de la vulnérabilité DCOM RPC.
  12. Une fois la mise à jour téléchargée et exécutée, le ver redémarrera l'ordinateur afin de terminer l'installation du correctif.
  13. Il vérifie la date système de l'ordinateur. Si l'année est 2004, le ver se désactive et se supprime lui-même.
    • Il supprime le fichier %System%\Wins\Dllhost.exe
    • Il supprime les services RpcPatch et RpcTftpd, et supprime les clés de registre associées :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

    Le ver ne supprime pas le fichier %System%\Wins\Svchost.exe, qui est un serveur tftp non malveillant.

    Remarques :
    • Le ver n'active sa routine de suppression que s'il est démarré en 2004. Si le ver est actif depuis 2003 sans interruption, il ne se supprimera pas lui-même après le 1er janvier 2004 à moins que vous ne redémarriez l'ordinateur ou le ver manuellement.
    • L'outil de suppression de W32.Welchia.Worm fonctionnera toujours normalement en 2004.

Intruder Alert
Le 19 août 2003, Symantec a publié une stratégie Intruder Alert 3.6 W32_Welchia_Worm Policy.

Norton Internet Security / Norton Internet Security Professional
Le 20 août 2003, Symantec a publié des signatures IDS via LiveUpdate afin de détecter l'activité de W32.Welchia.Worm.

Symantec Client Security
Le 20 août 2003, Symantec a publié des signatures IDS via LiveUpdate afin de détecter l'activité de W32.Welchia.Worm.

Symantec ManHunt
  • Les technologies de détection des anomalies de protocole de Symantec ManHunt identifient l'activité générée par cette exploitation comme "Portsweep". Bien que ManHunt détecte l'activité générée par cette exploit grâce à sa technologie de détection des anomalies de protocole, vous pouvez utiliser la signature personnalisée "Microsoft DCOM RPC Buffer Overflow", publiée dans la Mise à jour de sécurité 4, afin d'identifier précisément l'exploit envoyé.
  • La Mise à jour de sécurité 7 a été publiée afin de fournir des signatures spécifiques à W32.Welchia.Worm, et permettre la détection de davantage d'attributs de W32.Welchia.Worm.

Symantec Gateway Security
  • Le 18 août 2003, Symantec a publié une mise à jour pour Symantec Gateway Security 1.0.
  • La technologie de vérification d'applications des firewalls Symantec vous protège contre cette vulnérabilité de Microsoft, bloquant par défaut tous les ports TCP énumérés ici. Pour une sécurité optimale, la technologie de vérification d'applications de troisième génération bloque intelligemment la mise sous tunnel du trafic DCOM sur des canaux HTTP, fournissant ainsi une couche supplémentaire de protection qui n'est généralement pas disponible dans les firewalls de filtrage réseau les plus courants.

Symantec Host IDS
Le 19 août 2003, Symantec a publié une mise à jour pour Symantec Host IDS 4.1.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Frederic Perriot
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.