W32.Welchia.Worm

Quando W32.Welchia.Worm viene eseguito, svolge le seguenti operazioni:

1. Copia sé stesso in:
   
   %System%\Wins\Dllhost.exe
   
   

   ---

   Nota: %System% è una variabile. Il worm individua la cartella System e copia sé stesso in tale posizione. Per impostazione predefinita, questa è C:\Winnt\System32 (Windows 2000) o C:\Windows\System32 (Windows XP)
   

   ---

2. Crea una copia di %System%\Dllcache\Tftpd.exe come %System%\Wins\svchost.exe.
   
   

   ---

   Nota: Tftpd è un programma legittimo, che non è nocivo, e quindi i prodotti antivirus di Symantec non lo rileveranno.
   

   ---

3. Aggiunge le sottochiavi:
   
   RpcPatch
   
   e:
   
   RpcTftpd
   
   alla chiave di registro:
   
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
   
4. Crea i seguenti servizi:
   
   Nome del servizio: RpcTftpd
   Nome visualizzato del servizio: Network Connections Sharing
   File binario del servizio: %System%\wins\svchost.exe
   
   Il servizio verrà impostato per l'avvio manuale.
   
   Nome del servizio: RpcPatch
   Nome visualizzato del servizio: WINS Client
   File binario del servizio: %System%\wins\dllhost.exe
   
   Il servizio verrà impostato per l'avvio automatico.
   
   
5. Termina il processo Msblast, ed elimina il file %System%\msblast.exe che è rilasciato dal worm W32.Blaster.Worm.
   
6. Il worm selezionerà l'indirizzo IP della vittima in due modi diversi. Utilizzerà A.B.0.0 dal numero A.B.C.D dell'indirizzo IP del computer infetto e incrementerà il conteggio, oppure costruirà un indirizzo IP casuale basato su alcuni indirizzi codificati internamente.
   
   Dopo avere selezionato l'indirizzo iniziale, incrementerà il conteggio cercando in un intervallo di reti di Classe C, ad esempio, se inizia da A.B.0.0, incrementerà il conteggio fino a A.B.255.255.
   
7. Il worm invierà un echo ICMP, o PING, per controllare se l'indirizzo IP costruito è un computer attivo nella rete.
   
8. Quando identifica un computer attivo nella rete, invierà dei dati sulla porta TCP 135, sfruttando la vulnerabilità DCOM RPC, o invierà dei dati alla porta TCP 80 per sfruttare la vulnerabilità WebDav.
   
   
9. Crea una shell remota sull'host vulnerabile che si riconnetterà al computer aggressore su una porta TCP casuale tra 666 e 765 per ricevere istruzioni.
   
   

   ---

   Nota: nella stragrande maggioranza dei casi, la porta è 707 a causa del modo in cui il modello di threading del worm interagisce con l'implementazione del .dll di runtime C di Windows.

   ---

10. Esegue il server TFTP sul computer aggressore, indica al computer vittima di connettersi e scaricare Dllhost.exe e Svchost.exe dal computer aggressore. Se il file, %System%\dllcache\tftpd.exe esiste, il worm potrebbe non scaricare svchost.exe.
    
    
11. Controlla la versione del sistema operativo, il numero di Service Pack e le impostazioni internazionali del computer e tenta di connettersi a Microsoft Windows Update e scaricare la patch appropriata per la vulnerabilità DCOM RPC.
    
    
12. Dopo avere scaricato ed eseguito l'aggiornamento, il worm riavvierà il computer in modo che la patch venga installata.
    
    
13. Controlla la data di sistema del computer. Se l'anno è 2004, il worm si disattiverà e si rimuoverà nel modo seguente:
    
    • elimina il file %System%\Wins\Dllhost.exe
      
    • elimina i servizi, RpcPatch e RpcTftpd, e rimuove le chiavi di registro associate:
      
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd
      
      

Il worm non elimina il file %System%\Wins\Svchost.exe, che è un server tftp non nocivo.



---

Note:
• Il worm attiva la propria routine di rimozione solo se è stato avviato nell'anno 2004. Se il worm è stato in esecuzione fin dal 2003 non si autoeliminerà dopo il 1 gennaio 2004 a meno che il computer o il worm non sia riavviato manualmente.
• Lo strumento di rimozione di W32.Welchia.Worm funzionerà ancora normalmente nel 2004.

---

Intruder Alert
Il 19-08-03, Symantec ha rilasciato Intruder Alert 3.6 W32_Welchia_Worm Policy.

Norton Internet Security/Norton Internet Security Professional
Il 20-08-03, Symantec ha rilasciato le firme IDS via LiveUpdate per rilevare l'attività di W32.Welchia.Worm.

Symantec Client Security
Il 20-08-03, Symantec ha rilasciato le firme IDS tramite LiveUpdate per rilevare l'attività di W32.Welchia.Worm.

Symantec ManHunt

• La tecnologia ManHunt Protocol Anomaly Detection Symantec rileva l'attività associata a questo exploit come "Portsweep". Benché ManHunt possa rilevare l'attività associata a questo exploit mediante la tecnologia Protocol Anomaly Detection, è possibile utilizzare la firma personalizzata "Microsoft DCOM RPC Buffer Overflow", rilasciata in Security Update 4, per identificare esattamente l'exploit inviato.
• Security Update 7 è stato rilasciato per fornire firme specifiche per W32.Welchia.Worm e per includere il rilevamento di più attributi di W32.Welchia.Worm.

Symantec Gateway Security

• Il 18-08-03, Symantec ha rilasciato un aggiornamento per Symantec Gateway Security 1.0.
• La tecnologia dell'applicazione firewall di ispezione completa Symantec protegge contro questa vulnerabilità di Microsoft, bloccando le porte TCP elencate precedentemente per impostazione predefinita. Per ottenere la massima protezione, la tecnologia dell'applicazione firewall di ispezione completa di terza generazione blocca in modo intelligente i "tunnel" del traffico DCOM nei canali HTTP, fornendo così un livello di protezione aggiuntivo che non è disponibile sui firewall di rete più comuni.

Symantec Host IDS
Il 19-08-03, Symantec ha rilasciato un aggiornamento per Symantec Host IDS 4.1.

Consigli

Symantec Security Response incoraggia tutti gli utenti e gli amministratori ad adottare le seguenti "best practices" di sicurezza di base:

<>

• Disattivare e rimuovere i servizi inutili. Molti sistemi operativi installano, per impostazione predefinita, servizi ausiliari non essenziali per il funzionamento del sistema, quali server FTP, telnet e server Web. Tali servizi fungono da punti di accesso per eventuali attacchi, la loro rimozione causa pertanto una diminuzione delle possibilità di attacco da parte delle minacce di tipo misto e comporta anche un minore lavoro di mantenimento dei servizi tramite aggiornamenti.
• Se una minaccia di tipo misto sfrutta uno o più servizi di rete, disattivare o bloccare il relativo accesso finché non viene applicata una patch.
• Mantenere sempre aggiornati i livelli delle patch, in particolare nei computer che ospitano servizi pubblici e sono accessibili tramite firewall, quali servizi HTTP, FTP, di posta e DNS (Domain Name System. A titolo di esempio, su tutti i computer basati su Windows dovrebbe essere installato il Service Pack corrente).. Inoltre applicare tutti gli aggiornamenti della sicurezza menzionati in questo documento, nei bollettini di sicurezza affidabili o sui siti Web dei fornitori.
• Adottare una politica basata sulle password. Password complesse ostacolano la violazione dei file, protetti dalle stesse, presenti sui computer infetti. Ciò aiuta a prevenire o, comunque, a limitare i danni quando un computer viene infettato.
• Configurare il server di posta elettronica in modo che vengano bloccati o rimossi i messaggi di posta elettronica contenenti in allegato i file utilizzati comunemente per diffondere i virus, ad esempio i file .vbs, .bat, .exe, .pif, e .scr.
• Isolare rapidamente i computer infetti per impedire ulteriori compromissioni ai danni dell'azienda. Effettuare un'analisi approfondita e ripristinare i computer utilizzando supporti affidabili.
• Educare il personale della propria azienda a non aprire allegati non attesi. Inoltre, non eseguire software scaricati da Internet senza aver prima effettuato la scansione dei virus. Se non sono stati applicati al browser gli aggiornamenti più recenti, è possibile contrarre un'infezione semplicemente visitando un sito Web.

Riepilogo