Compras

Symantec.com > Empresas > Security Response > W32.Welchia.Worm
IMPRIMIR ESTA PÁGINA

W32.Welchia.Worm

Nível do risco2: Baixo

Descoberto:
18 de Agosto de 2003
Atualizado:
13 de Fevereiro de 2007 12:09:02 PM
Também conhecido como:
W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo:
Worm
Extensão da infecção:
10,240 bytes
Sistemas afetados:
Microsoft IIS, Windows 2000, Windows XP
Referências CVE:
CAN-2003-0109 CAN-2003-0352

Devido a diminuição do número de submissões, o Symantec Security Response reduziu esta ameaça da Categoria para a Categoria 3.

O W32.Welchia.Worm é um worm que explora múltiplas vulnerabilidades:
  • Explora a vulnerabilidade do RPC do DCOM (descrita em Microsoft Security Bulletin MS03-026 - este recurso encontra-se em inglês) usando a porta TCP 135. O worm especificamente visa a computadores que executam Windows XP.
  • Explora a vulnerabilidade WebDav (descrita em Microsoft Security Bulletin MS03-007- este recurso encontra-se em inglês) usando a porta TCP 80. O worm especificamente visa a computadores que executam o Microsoft IIS 5.0. Este é comumente utilizado nos sistemas Windows 2000.

O W32.Welchia.worm faz o seguinte:
  • Tenta fazer o download da correção da vulnerabilidade do RPC do DCOM através do recurso Windows Update da Microsoft, instalá-lo e reiniciar o computador.
  • Procura por computadores ativos para infectá-los através do envio de um eco ICMP, ou PING, o que resulta em aumento do tráfego ICMP.
  • Tenta remover o W32.Blaster.Worm.

O Symantec Security Response criou uma ferramenta para remover infecções do W32.Welchia.worm.

O Security Response forneceu algumas informações para auxiliar os administradores de rede a identificar os computadores infectados pelo W32.Welchia.Worm. Consulte o documento em inglês Detecting traffic due to RPC worms para informações adicionais.

Datas da proteção antivírus

  • Versão inicial do Rapid Release18 de Agosto de 2003
  • Última versão do Rapid Release7 de Maio de 2012 revisão021
  • Versão inicial diária certificada18 de Agosto de 2003
  • Última versão diária certificada7 de Maio de 2012 revisão022
  • Data da versão inicial semanal certificada18 de Agosto de 2003
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:Low
  • Número de infecções:More than 1000
  • Número de sites:More than 10
  • Distribuição geográfica:High
  • Contenção da ameaça:Moderate
  • Remoção:Moderate

Dano

  • Nível do dano:Medium
  • Exclui arquivos:exclui o arquivo msblast.exe.
  • Causa a instabilidade do sistema:Computadores vulneráveis que executam Windows 2000 apresentarão instabilidade do sistema devido a falha do serviço RPC.
  • Compromete as configurações de segurança:Instala um servidor TFTP nos computadores infectados.

Distribuição

  • Nível de distribuição:Medium
  • Portas:TCP 135(RPC DCOM), TCP 80(WebDav)
Escrito por:Frederic Perriot
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais