1. /
  2. Security Response/
  3. W32.Welchia.B.Worm
  4. W32.Welchia.B.Worm
  • Ajouter

W32.Welchia.B.Worm

Niveau de risque2 : Faible

Découvert :
11 Février 2004
Mis à jour :
13 Février 2007 12:20:28 PM
Egalement appelé :
W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Type :
Worm
Etendue de l'infection :
12 800 octets
Systèmes affectés :
Windows 2000, Windows XP
Références CVE :
CAN-2003-0812 CAN-2003-0352 CAN-2003-0109 CAN-2003-0003

En raison du nombre croissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 13.02.04, du Niveau 2 au Niveau 3.

W32.Welchia.B.Worm est une variante de W32.Welchia.Worm. Si la version du système d'exploitation de la machine infectée est en chinois, en coréen ou en anglais, le ver essaiera de télécharger les correctifs de Microsoft Saturation de la mémoire tampon dans le service Poste de travail et Débordement de mémoire tampon dans Messenger Service sur le site des mises à jour de Microsoft® Windows, de les installer, puis de redémarrer l'ordinateur.

Le ver tente également de supprimer les vers W32.Mydoom.A@mm et W32.Mydoom.B@mm.

W32.Welchia.B.Worm exploite de nombreuses vulnérabilités, parmi lesquelles :
  • La vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
  • La vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Ce ver vise en particulier les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'utilisation de l'exploit par le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.
  • La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
  • La vulnérabilité du service Locator en utilisant le port TCP 445 (décrite dans le décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-001). Le ver vise particulièrement les machines Windows 2000 qui utilisent cet exploit.

La présence du fichier %Windir%\system32\drivers\svchost.exe indique la possibilité d'une infection.

Cette menace est compressée avec UPX.


Remarque : Les définitions de virus datées du 11.02.04 révision 23 (20040211.023 ou Defs Version 60211w) ou supérieures, détecteront cette menace.

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.B.Worm.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release11 Février 2004
  • Dernière version des définitions Rapid Release21 Août 2012 révision 001
  • Version initiale des définitions Daily Certified11 Février 2004
  • Dernière version des définitions Daily Certified21 Août 2012 révision 002
  • Date de la version initiale des définitions Weekly Certified11 Février 2004
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Medium
  • Nombre d'infections :More than 1000
  • Nombre de sites :More than 10
  • Répartition géographique :High
  • Contrôle de la menace :Easy
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Low
  • Elément déclencheur :ne s'applique pas
  • Résultat d'activation :ne s'applique pas
  • Envoi de courrier électronique en masse :ne s'applique pas
  • Supprime des fichiers :Il supprime les fichiers liés à W32.Mydoom.A@mm et W32.Mydoom.B@mm.
  • Modifie des fichiers :ne s'applique pas
  • Diffuse des informations confidentielles :ne s'applique pas
  • Cause l'instabilité du système :Les machines Windows 2000 vulnérables auront des problèmes d'instabilité du système suite au crash du service RPC.
  • Compromet les paramètres de sécurité :ne s'applique pas

Distribution

  • Niveau de distribution :Medium
  • Objet du courrier électronique :ne s'applique pas
  • Nom de la pièce jointe :ne s'applique pas
  • Taille de la pièce jointe :ne s'applique pas
  • Ports :TCP 80, 135, 445
  • Lecteurs partagés :ne s'applique pas
  • Cible d'infection :ne s'applique pas
  • Date de la pièce jointe :ne s'applique pas
Rédigé par :Yana Liu