||||
Symantec.com > Security Response > W32.Welchia.B.Worm
STAMPA QUESTA PAGINA

W32.Welchia.B.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 11 de Febbraio de 2004
Aggiornato: 13 de Febbraio de 2007 12:20:38 PM
Conosciuto anche come: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: Worm
Lunghezza dell’infezione: 12,800 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP


In data 13.02.04, a causa di un aumento delle segnalazioni, il Symantec Security Response ha modificato il livello di gravità di questa minaccia, portandolo dalla categoria 2 alla 3.

W32.Welchia.B.Worm è una variante di W32.Welchia.Worm. Se la versione di sistema operativo della macchina infetta è in lingua cinese (semplificata), cinese (tradizionale), coreana o inglese, il computer tenterà di scaricare i patch per l'Overrun del buffer di Microsoft Workstation Service e per l'Overrun del buffer di Microsoft Messenger Service dal sito Web Microsoft® Windows Update, installarli e riavviare il computer.

Il worm tenterà anche di rimuovere i worm W32.Mydoom.A@mm e W32.Mydoom.B@mm.

W32.Welchia.B.Worm si approfitta di più vulnerabilità tra le quali:
    • La vulnerabilità DCOM RPC (descritta nel Microsoft Security Bulletin MS03-026) utilizzando la porta TCP 135. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer Windows XP.
    • La vulnerabilità WebDav (descritta nel Microsoft Security Bulletin MS03-007) utilizzando la porta TCP 80. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer che eseguono Microsoft IIS 5.0. Lo sfruttamento di questa vulnerabilità ha un effetto sui sistemi Windows 2000 e potrebbe averlo sui sistemi Windows NT/XP.
    • La vulnerabilità della sovrapposizione del buffer del servizio della workstation (descritta nel Microsoft Security Bulletin MS03-049) utilizzando la porta TCP 445.
    • La vulnerabilità del servizio di individuazione utilizzando la porta TCP 445 (descritta nel Microsoft Security Bulletin MS03-001). Sfruttando questa vulnerabilità il worm prende di mira in modo specifico le macchine Windows 2000.

La presenza del file %Windir%\system32\drivers\svchost.exe indica una possibile infezione.

Questa minaccia è compressa con UPX.

Nota: la minaccia verrà rilevata dalle definizioni dei virus datate 11 febbraio 2004, revisione 23 (20040211.023 o Defs Version 60211w) o successive.


Symantec Security Response ha reso disponibile uno strumento di rimozione per eliminare le infezioni causate da W32.Welchia.B.Worm.

Protezione

  • Versione iniziale delle definizioni Rapid 11 de Febbraio de 2004
  • Ultima versione delle definizioni Rapid Release 1 de Luglio de 2009 revisione 050
  • Versione iniziale delle definizioni Daily certified 11 de Febbraio de 2004
  • Ultima versione delle definizioni Daily certified 1 de Luglio de 2009 revisione 048
  • Data di iniziale delle definizioni Weekly Certified 11 de Febbraio de 2004

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione: Medio
  • Numero di infezioni: More than 1000
  • Numero di siti: More than 10
  • Distribuzione geografica: Alto
  • Contenimento della minaccia: Semplice
  • Rimozione: Moderato

Danno

  • Livello del danno: Basso
  • Elimina file: Elimina i file associati a W32.Mydoom.A@mm e W32.Mydoom.B@mm.
  • Causa instabilità del sistema: I computer Windows 2000 vulnerabili subiranno un'instabilità di sistema a causa del blocco del servizio RPC.

Distribuzione

  • Livello di distribuzione: Medio
  • Porte: TCP 80, 135, 445

Documento di: Yana Liu
Norton 360: Versione 2.0.
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza