/
Security Response/
W32.Welchia.B.Worm
W32.Welchia.B.Worm

Ajouter

W32.Welchia.B.Worm

Niveau de risque2 : Faible

Télécharger l'outil de suppression|Version imprimable

Découvert :: 11 Février 2004
Mis à jour :: 13 Février 2007 12:20:28 PM
Egalement appelé :: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Type :: Worm
Etendue de l'infection :: 12 800 octets
Systèmes affectés :: Windows 2000, Windows XP
Références CVE :: CAN-2003-0812 CAN-2003-0352 CAN-2003-0109 CAN-2003-0003

En raison du nombre croissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 13.02.04, du Niveau 2 au Niveau 3.

W32.Welchia.B.Worm est une variante de W32.Welchia.Worm. Si la version du système d'exploitation de la machine infectée est en chinois, en coréen ou en anglais, le ver essaiera de télécharger les correctifs de Microsoft Saturation de la mémoire tampon dans le service Poste de travail et Débordement de mémoire tampon dans Messenger Service sur le site des mises à jour de Microsoft® Windows, de les installer, puis de redémarrer l'ordinateur.

Le ver tente également de supprimer les vers W32.Mydoom.A@mm et W32.Mydoom.B@mm.

W32.Welchia.B.Worm exploite de nombreuses vulnérabilités, parmi lesquelles :

La vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
La vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Ce ver vise en particulier les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'utilisation de l'exploit par le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.
La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
La vulnérabilité du service Locator en utilisant le port TCP 445 (décrite dans le décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-001). Le ver vise particulièrement les machines Windows 2000 qui utilisent cet exploit.

La présence du fichier %Windir%\system32\drivers\svchost.exe indique la possibilité d'une infection.

Cette menace est compressée avec UPX.

Remarque : Les définitions de virus datées du 11.02.04 révision 23 (20040211.023 ou Defs Version 60211w) ou supérieures, détecteront cette menace.

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.B.Worm.

Dates de la protection antivirus

Version initiale des définitions Rapid Release11 Février 2004
Dernière version des définitions Rapid Release21 Août 2012 révision 001
Version initiale des définitions Daily Certified11 Février 2004
Dernière version des définitions Daily Certified21 Août 2012 révision 002
Date de la version initiale des définitions Weekly Certified11 Février 2004

Cliquez si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

Niveau de virulence :Medium
Nombre d'infections :More than 1000
Nombre de sites :More than 10
Répartition géographique :High
Contrôle de la menace :Easy
Suppression :Moderate

Dommages

Niveau de dommages :Low
Elément déclencheur :ne s'applique pas
Résultat d'activation :ne s'applique pas
Envoi de courrier électronique en masse :ne s'applique pas
Supprime des fichiers :Il supprime les fichiers liés à W32.Mydoom.A@mm et W32.Mydoom.B@mm.
Modifie des fichiers :ne s'applique pas
Diffuse des informations confidentielles :ne s'applique pas
Cause l'instabilité du système :Les machines Windows 2000 vulnérables auront des problèmes d'instabilité du système suite au crash du service RPC.
Compromet les paramètres de sécurité :ne s'applique pas

Distribution

Niveau de distribution :Medium
Objet du courrier électronique :ne s'applique pas
Nom de la pièce jointe :ne s'applique pas
Taille de la pièce jointe :ne s'applique pas
Ports :TCP 80, 135, 445
Lecteurs partagés :ne s'applique pas
Cible d'infection :ne s'applique pas
Date de la pièce jointe :ne s'applique pas

Rédigé par :Yana Liu

Résumé| Détails techniques| Suppression

PRODUITS ET SERVICES

PRODUITS LES PLUS POPULAIRES

SOLUTIONS

COMMENT ACHETER

RESSOURCES

COMMUNAUTE : SYMANTEC CONNECT

Version d'essai

Intéressé par les logiciels Symantec pour entreprises ?

SUPPORT PRODUITS

CONTINUITE DE SUPPORT*

LICENCES ET GESTION DE COMPTE*

RESSOURCES SUPPORT

COMMUNAUTES SYMANTEC CONNECT*

Social

Rejoignez-nous sur les réseaux sociaux

Accédez à des informations intéressantes et prenez part à la discussion

PROTEGEZ-VOUS

Mises à jour

Réparation

S'INFORMER

Reporting 24h/24, 7j/7

Security Technology and Response

PUBLICATIONS

NOUS CONTACTER

Economist Report

Mobile innovation in the business

VERSION D'ESSAI

Toutes les versions d'essai pour entreprise

ACHETER EN LIGNE

Website Security Solutions

Acheter produits d'entreprises

ACHETER NORTON

Le plus populaire

Nouveaux produits

Mon produit Norton

Voir les offres Norton

15 % de remise Symantec Endpoint Protection Small Business Edition 2013

Les menaces bloquent l'activité.Nous bloquons les menaces.