||||
Symantec.com > Security Response > W32.Welchia.B.Worm
IMPRIMEZ CETTE PAGE

W32.Welchia.B.Worm

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 11 Février 2004
Mis à jour : 13 Février 2007 12:20:28 PM
Egalement appelé : W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Type : Ver
Etendue de l'infection : 12 800 octets
Systèmes affectés : Windows 2000, Windows XP


Lorsque W32.Welchia.B.Worm s'exécute, il agit de la façon suivante :
  1. Il crée un mutex portant le nom "WksPatch_Mutex". Ce mutex ne laisse qu'une instance du ver s'exécuter en mémoire.
  2. Il se copie comme %System%\drivers\svchost.exe.

    Remarques :
    • %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie à cet emplacement. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
    • Il existe un fichier système légitime, %System%\svchost.exe, dont la taille est la même que le ver sur le système Windows XP.
  3. Il crée le service suivant :

    Nom du service : WksPatch
    Binaire du service : %System%\drivers\svchost.exe
    Nom complet du service : Construit sous la forme %string1% %string2% %string3%, où :
    1. %string1% est l'une des suivantes :
      • System
      • Security
      • Remote
      • Routing
      • Performance
      • Network
      • License
      • Internet
    2. %string2% est l'une des suivantes :
      • Logging
      • Manager
      • Procedure
      • Accounts
      • Event
    3. et %string3% est l'une des suivantes :
      • Provider
      • Sharing
      • Messaging
      • Client

        Par exemple, le nom complet du service peut être "Security Logging Sharing".
  4. Il supprime le service nommé "RpcPatch", s'il existe.

    Remarque : W32.Welchia.Worm a créé ce service.
  5. Il vérifie l'existence des vers W32.Mydoom.A@mm et W32.Mydoom.B@mm en recherchant les clés de registre suivantes :
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
      Explorer\ComDlg32\Version
  6. Il tente de supprimer les vers W32.Mydoom.A@mm et W32.Mydoom.B@mm si l'une des clés de registre précisées à l'étape 5 existent. Pour cela, il procède comme suit :
    1. Il supprime les fichiers suivants :
      1. %System%\ctfmon.dll
      2. %System%\Explorer.exe
      3. %System%\shimgapi.dll
      4. %System%\TaskMon.exe
    2. Il supprime la valeur "Taskmon" des clés de registre :
      • HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\Run
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\
        CurrentVersion\Run
    3. Il rétablit la valeur :

      "@"="%SystemRoot%\System32\webcheck.dll"

      dans la clé de registre :

      HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
      \InProcServer32
    4. Il remplace le fichier HOSTS par le texte suivant :

      #
      #

      127.0.0.1 localhost
  7. Il génère des adresses IP aléatoires, et envoie des données d'exploitation aux adresses IP, dans le but d'infecter les systèmes :
    • Il envoie des données sur le port TCP 135 pour exploiter la vulnérabilité DCOM RPC.
    • Il envoie des données sur le port TCP 80 pour exploiter la vulnérabilité WebDav.
    • Il envoie des données sur le port TCP 445 pour exploiter la vulnérabilité du service Poste de travail.
    • Il envoie des données sur le port TCP 445 pour exploiter la vulnérabilité du service Locator.
  8. Il exécute un serveur HTTP sur un port TCP aléatoire, de sorte que les ordinateurs vulnérables puissent se reconnecter à l'ordinateur infecté, puis il télécharge localement puis exécute le ver comme WksPatch.exe.
  9. Il recherche les fichiers dans les racines virtuelles IIS et les dossiers %Windir%\Help\\IISHelp\common avec les extensions ci-après, si la version du système d'exploitation de la machine infectée est japonaise :
    • .shtml
    • .shtm
    • .stm
    • .cgi
    • .php
    • .html
    • .htm
    • .asp

      Remarque : Les racines virtuelles et dossiers d'aide IIS sont installés avec le serveur Internet Information Services de Microsoft.
  10. Il remplace les fichiers trouvés par le fichier .htm suivant :



  11. Il télécharge l'un des correctifs ci-après sur le site Windows Update de Microsoft, si la version du système d'exploitation de la machine infectée est chinoise, coréenne ou anglaise :
    • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
      /WindowsXP-KB828035-x86-CHS.exe
    • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
      /WindowsXP-KB828035-x86-KOR.exe
    • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
      /WindowsXP-KB828035-x86-ENU.exe
    • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
      /Windows2000-KB828749-x86-CHS.exe
    • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
      /Windows2000-KB828749-x86-KOR.exe
    • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
      /Windows2000-KB828749-x86-ENU.exe

      Remarque : Avant de télécharger le correctif, le ver vérifie si le correctif a déjà été appliqué et, si c'est le cas, il ne tente pas de le télécharger. S'il n'a pas encore été appliqué, le ver tentera de télécharger le correctif comme un processus normal en premier lieu, puis comme un service. Si le téléchargement échoue, le ver ne tente pas de télécharger le correctif de nouveau. Si le téléchargement s'effectue correctement, le ver supprimera le fichier du correctif après son exécution.
  12. Il installe le correctif puis redémarre l’ordinateur.
  13. Le ver se désactivera lui-même le 01.06.04, ou passé un délai de 120 jours, selon la situation qui se présente en premier.


Symantec Client Security
  • Composant antivirus : Une mise à jour du moteur antivirus de Symantec Client Security est disponible depuis le 11 février 2004 via LiveUpdate (voir plus haut), afin d'assurer la protection contre W32.Welchia.B.Worm.
  • Symantec Client Firewall : Symantec Client Firewall est livré avec la règle définie par défaut : "Haute : Bloquer toute transmission jusqu'à votre autorisation". Cette règle informera l'utilisateur de toute tentative de connexion de la porte dérobée et l'invitera à Autoriser, Bloquer ou Personnaliser une règle pour cette tentative de connexion du ver.

Symantec Gateway Security 5400 Series et Symantec Gateway Security version 1.0
  • Composant antivirus : Une mise à jour du moteur antivirus de Symantec Gateway Security est désormais disponible afin d'assurer la protection contre le ver W32.Welchia.B.Worm. Les utilisateurs de Symantec Gateway Security sont invités à exécuter LiveUpdate.
  • Composant IDS/IPS : Une mise à jour du moteur IDS/IPS de Symantec Gateway Security destinée à assurer la protection contre le ver W32.Welchia.B.Worm a été publiée le 18.02.04. Il est conseillé aux administrateurs de Symantec Gateway Security d'exécuter LiveUpdate afin de garantir leur protection contre cette menace.
  • Composant d'inspection de la sémantique des données des pare-feu : Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation du ver W32.Welchia.B.Worm en empêchant les attaquants d'utiliser les vecteurs d'attaque WebDAV, DCOM sur HTTP et RPC.

De plus, la stratégie d'attaque par défaut empêche les attaquants d'utiliser les ports de porte dérobée sur les machines infectées.

Symantec Enterprise Firewall 7.0.x et Symantec VelociRaptor 1.5
Par défaut, la technologie d'inspection de la sémantique des données des pare-feu assure la protection contre la propagation du ver W32.Welchia.B.Worm en empêchant les attaquants d'utiliser les vecteurs d'attaque WebDAV, DCOM sur HTTP et RPC.

De plus, la stratégie d'attaque par défaut empêche les attaquants d'utiliser les ports de porte dérobée sur les machines infectées.

Symantec HIDS 4.1.1
Symantec a publié un package LiveUpdate le 17.02.04 pour les utilisateurs de Symantec HIDS 4.1.1. Veuillez vous reporter à Symantec Host IDS 4.1.1 Security Update 3 pour plus d'informations.

Symantec ManHunt
  • RPC DCOM
Ce vecteur est détecté par la signature personnalisée, MS RPC DCOM HEAP Overflow, publiée dans la mise à jour de sécurité 11.
  • SMB Workstation
Ce vecteur est détecté par la signature personnalisée, SMB Workstation Service Overflow, publiée dans la mise à jour de sécurité 12.
  • HTTP WebDAV
Les technologies de détection des anomalies de protocole de Symantec ManHunt identifient l'activité générée par cette exploitation comme "HTTP Malformed URL (HTTP_BAD_REQURL5)".
  • Saturation de Locator
Ce vecteur est détecté par la signature personnalisée, MS NETBIOS Locator Service Buffer Overflow, publiée dans la mise à jour de sécurité 20.

Intruder Alert
Symantec a publié la stratégie Intruder Alert 3.6 W32_Welchia_B_Worm Policy.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

  • Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
  • Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
  • Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
  • Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
  • Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
  • Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
  • Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Ecrit par : Yana Liu
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.