Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
- Descoberto:
- 11 de Fevereiro de 2004
- Atualizado:
- 13 de Fevereiro de 2007 12:19:49 PM
- Também conhecido como:
- W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
- Tipo:
- Worm
- Extensão da infecção:
- 12,800 bytes
- Sistemas afetados:
- Windows 2000, Windows XP
- Referências CVE:
- CAN-2003-0812 CAN-2003-0352 CAN-2003-0109 CAN-2003-0003
O W32.Welchia.B.Worm é uma variante do W32.Welchia.Worm. Se o idioma do sistema operacional infectado for chinês, coreano ou inglês, o worm tentará fazer o download das correções Microsoft Workstation Service Buffer Overrun e Microsoft Messenger Service Buffer Overrun a partir do website do Microsoft® Windows Update. O worm tentará instalar essas correções e reiniciar o computador.
O worm também tenta remover os worms W32.Mydoom.A@mm e W32.Mydoom.B@mm (em inglês).
O W32.Welchia.B.Worm explora múltiplas vulnerabilidades, incluindo:
- A vulnerabilidade do RPC do DCOM (descrita no Microsoft Security Bulletin MS03-026), usando a porta TCP 135. Através desta vulnerabilidade, o worm ataca especificamente computadores com o Windows XP.
- A vulnerabilidade do WebDav (descrita no Microsoft Security Bulletin MS03-007), usando a porta TCP 80. O worm ataca especificamente computadores com o Microsoft IIS 5.0 usando esta vulnerabilidade. A maneira como o worm explora esta vulnerabilidade irá afetar sistemas baseados no Windows 2000 e poderá afetar sistemas baseados no Windows NT/XP.
- A vulnerabilidade de estouro de buffer do serviço da estação de trabalho (descrita no Microsoft Security Bulletin MS03-049), usando a porta TCP 445.
- A vulnerabilidade do Locator Service, usando a porta TCP 445 (descrita em Microsoft Security Bulletin MS03-001). O worm ataca especificamente computadores com o Windows 2000 usando esta vulnerabilidade.
A presença do arquivo %Windir%\system32\drivers\svchost.exe é uma indicação de possível infecção.
Esta ameaça é comprimida com UPX.
Nota: As definições de vírus com data de 11 de fevereiro de 2004, revisão 23 (20040211.023 ou Defs Version 60211w) ou posteriores detectarão esta ameaça.
O Symantec Security Response desenvolveu uma ferramenta para remover ameaças do W32.Welchia.B.Worm.
Datas da proteção antivírus
- Versão inicial do Rapid Release11 de Fevereiro de 2004
- Última versão do Rapid Release14 de Março de 2012 revisão005
- Versão inicial diária certificada11 de Fevereiro de 2004
- Última versão diária certificada14 de Março de 2012 revisão019
- Data da versão inicial semanal certificada11 de Fevereiro de 2004
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Avaliação da ameaça
Disseminação
- Nível de disseminação:Medium
- Número de infecções:More than 1000
- Número de sites:More than 10
- Distribuição geográfica:High
- Contenção da ameaça:Easy
- Remoção:Moderate
Dano
- Nível do dano:Low
- Acionador de atividade:Não disponível
- Atividade:Não disponível
- Envio de e-mail em grande escala:Não disponível
- Exclui arquivos:Exclui os arquivos associados ao W32.Mydoom.A@mm e ao W32.Mydoom.B@mm.
- Modifica arquivos:Não disponível
- Divulga informações confidenciais:nNão disponível
- Causa a instabilidade do sistema:Computadores com Windows 2000 que estejam vulneráveis sofrerão de instabilidades no sistema devido ao colapso do serviço RPC.
- Compromete as configurações de segurança:Não disponível
Distribuição
- Nível de distribuição:Medium
- Assunto do e-mail:Não disponível
- Nome do anexo:Não disponível
- Tamanho do anexo:Não disponível
- Portas:TCP 80, 135, 445
- Unidades compartilhadas:Não disponível
- Alvo da infecção:Não disponível
- Carimbo de hora do anexo:Não disponível
Escrito por:Yana Liu