Descoberto: 11 de Fevereiro de 2004
Atualizado: 13 de Fevereiro de 2007 12:19:49 PM
Também conhecido como: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: worm
Extensão da infecção: 12,800 bytes
Sistemas afetados: Windows 2000, Windows XP
Quando o W32.Welchia.B.Worm é executado, ele faz o seguinte:
- Cria um mutex chamado "WksPatch_Mutex." Este mutex permite que apenas uma instância do worm seja executada na memória.
- Cria uma cópia de si mesmo em %System%\drivers\svchost.exe.
Notas:
- %System% é uma variável. O worm localiza a pasta do sistema e faz uma cópia de si mesmo para esse local. Por padrão, ela é C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows XP).
- Existe um arquivo legítimo do sistema denominado %System%\svchost.exe, que possui o mesmo tamanho do arquivo do worm no Windows XP.
- Cria o seguinte serviço:
Nome do serviço: WksPatch
Serviço binário: %System%\drivers\svchost.exe
Nome de exibição do serviço: Construído na forma %string1% %string2% %string3%, onde:
- %string1% é uma das seguintes palavras:
- System
- Security
- Remote
- Routing
- Performance
- Network
- License
- Internet
- %string2% é uma das seguintes palavras:
- Logging
- Manager
- Procedure
- Accounts
- Event
- e %string3% é uma das seguintes palavras:
- Provider
- Sharing
- Messaging
- Client
Por exemplo: o nome de exibição do serviço pode ser "Security Logging Sharing."
- Exclui o serviço "RpcPatch," se ele existir.
Nota: Esse serviço é criado pelo W32.Welchia.Worm.
- Verifica a existência dos worms W32.Mydoom.A@mm e W32.Mydoom.B@mm (em inglês) ao verificar as seguintes chaves de registro:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
- Tenta remover os worms W32.Mydoom.A@mm e W32.Mydoom.B@mm (ambos os documentos encontram-se em inglês), se qualquer uma das chaves de registro acima existirem. O worm faz isso da seguinte maneira:
- Exclui os seguintes arquivos:
- %System%\ctfmon.dll
- %System%\Explorer.exe
- %System%\shimgapi.dll
- %System%\TaskMon.exe
- Exclui o valor "Taskmon" das chaves de registro:
- HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Restaura o valor:
"@"="%SystemRoot%\System32\webcheck.dll"
na chave de registro:
HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED\InProcServer32
- Sobrescreve o arquivo HOSTS com o seguinte texto:
#
#
127.0.0.1 localhost
- Gera endereços IP aleatórios, e envia dados para esses endereços, na tentantiva de infectá-los:
- Envia dados para a porta TCP 135 para explorar a vulnerabilidade do RPC do DCOM.
- Envia dados para a porta TCP 80 para explorar a vulnerabilidade do WebDav.
- Envia dados para a porta TCP 445 para explorar a vulnerabilidade do serviço da estação de trabalho.
- Envia dados para a porta TCP 445 para explorar a vulnerabilidade do Locator Service.
- Executa um servidor HTTP em uma porta TCP aleatória, de forma que os computadores vulneráveis possam reconectar ao computador infectado, e localmente fazer o download e a execução do worm através do arquivo WksPatch.exe.
- Procura por arquivos do IIS Virtual Roots e pelas pastas comuns %Windir%\Help\\IISHelp\ com as seguintes extensões, se o idioma do sistema operacional do computador infectado for japonês:
- .shtml
- .shtm
- .stm
- .cgi
- .php
- .html
- .htm
- .asp
Nota: As pastas Virtual Roots e IIS Help são instaladas como parte do servidor do Microsoft Internet Information Services.
- Sobrescreve os arquivos encontrados com o seguinte arquivo .html:
- Faz o download das seguintes correções a partir do website do Microsoft Windows Update, se o idioma do sistema operacional do computador infectado for chinês, coreano ou inglês:
- download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/WindowsXP-KB828035-x86-CHS.exe
- download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59/WindowsXP-KB828035-x86-KOR.exe
- download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a/WindowsXP-KB828035-x86-ENU.exe
- download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c/Windows2000-KB828749-x86-CHS.exe
- download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513/Windows2000-KB828749-x86-KOR.exe
- download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9/Windows2000-KB828749-x86-ENU.exe
Nota: Antes de fazer o download da correção o worm verifica se esta já foi aplicada. Em caso positivo o worm não tentará descarregá-la. Se a correção ainda não foi aplicada, o worm tentará fazer o download da mesma - inicialmente como um processo normal e então com um serviço. Se a tentativa de download falhar, o worm não tentará fazê-lo novamente. Caso o download tenha sucesso, o worm excluirá a correção após tê-la executado.
- O worm instala a correção e reinicia o computador.
- O worm será auto-desativado em 1° de junho de 2004, ou após ter sido executado durante 120 dias, o que ocorrer primeiro.
Symantec Client Security
- Componente antivírus: uma atualização para o mecanismo do Symantec Client Security AntiVirus foi disponibilizada em 11 de Fevereiro de 2004 através do LiveUpdate, para proteção contra o W32.Welchia.B.Worm.
- Symantec Client Firewall: O Symantec Client Firewall é distribuído com a regra padrão "High: Block everything until you allow it". Ele notificará o usuário se houve uma tentativa de conexão através do agente backdoor e solicitará ao usuário que permita, bloqueie ou personalize a regra para aquela conexão aberta pelo worm.
Symantec Gateway Security 5400 Series e Symantec Gateway Security v1.0
- Componente antivírus: uma atualização para o mecanismo do Symantec Gateway Security AntiVirus está disponível. Recomendamos que os usuários do Symantec Gateway Security executem o LiveUpdate.
- Componente IDS/IPS: uma atualização para o mecanismo do Symantec Gateway Security IDS/IPS foi disponibilizada em 18 de fevereiro de 2004. Recomendamos que os administradores do Symantec Gateway Security executem o LiveUpdate para obter proteção contra esta ameaça.
- Componente do firewall para inspeção completa de aplicações: por padrão, a tecnologia de inspeção completa de aplicações da Symantec evita que invasores utilizem os vetores de ataque WebDAV, DCOM sobre HTTP e RPC, protegendo o sistema contra esta ameaça.
Adicionalmente, a política de segurança padrão evita que invasores utilizem portas backdoor nos computadores infectados.
Symantec Enterprise Firewall 7.0.x e Symantec VelociRaptor 1.5
Por padrão, a tecnologia de inspeção de aplicações evita que invasores utilizem os vetores de ataque WebDAV, DCOM sobre HTTP e RPC, protegendo o sistema contra esta ameaça.
Adicionalmente, a política de segurança padrão evita que invasores utilizem portas backdoor nos computadores infectados.
Symantec HIDS 4.1.1
Em 17 de fevereiro de 2004 a Symantec disponibilizou através do LiveUpdate uma atualização de segurança para usuários do Symantec HIDS 4.1.1. Consulte o
Symantec Host IDS 4.1.1 Security Update 3 para informações adicionais.
Symantec ManHunt
Este vetor é detectado pela assinatura padrão, MS RPC DCOM HEAP Overflow, lançada no Security Update 11.
Este vetor é detectado pela assinatura padrão, SMB Workstation Service Overflow, lançada no Security Update 12.
A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm como "HTTP Malformed URL (HTTP_BAD_REQURL5)". Um refinamento da regra do evento foi lançada no Security Update 20 para permitir a detecção especificamente como "HTTP IIS Welchia WebDAV SEARCH BO."
Este vetor é detectado pela assinatura padrão MS NETBIOS Locator Service Buffer Overflow, lançada no Security Update 20.
Intruder Alert
A Symantec distribuiu um
Intruder Alert 3.6 W32_Welchia_B_Worm Policy.
Recomendações
O Symantec Security Response incentiva todos os usuários e administradores a adotarem as "melhores práticas" de segurança básica a seguir:
- Desativar e remover os serviços desnecessários. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que não são essenciais, como um servidor de FTP, telnet e um servidor da Web. Esses serviços são verdadeiras vias de ataque. Se eles forem removidos, as ameaças combinadas terão menos vias de ataque e você terá menos serviços para atualizar através de patches.
- Se uma ameaça combinada explorar um ou mais serviços de rede, desative ou bloqueie o acesso a esses serviços até que um patch seja aplicado.
- Mantenha sempre seus níveis de patch atualizados, especialmente em computadores que hospedam serviços públicos e que podem ser acessados através do firewall, como serviços de HTTP, FTP, correio e DNS (por exemplo, todos os computadores baseados em Windows devem ter o Service Pack atual instalado).. Além disso, aplique todas as atualizações de segurança mencionadas neste relatório, em boletins de segurança confiáveis ou em websites de fornecedores.
- Adote uma política de senha. As senhas complexas dificultam a quebra dos arquivos de senha em computadores comprometidos. Isso contribui para evitar ou limitar os danos quando um computador está comprometido.
- Configure o servidor de e-mail para bloquear ou remover e-mails que contenham anexos de arquivos geralmente usados para espalhar vírus, como .vbs, .bat, .exe, .pif e .scr.
- Isole os computadores infectados rapidamente para impedir que sua empresa fique ainda mais comprometida. Faça uma análise posterior e restaure os computadores usando meios confiáveis.
- Treine os funcionários para não abrir anexos, a menos que os estejam esperando. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode causar infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
Elaborado por: Yana Liu
Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
