Descoberto: 11 de Fevereiro de 2004
Atualizado: 13 de Fevereiro de 2007 12:19:49 PM
Também conhecido como: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: worm
Extensão da infecção: 12,800 bytes
Sistemas afetados: Windows 2000, Windows XP
O W32.Welchia.B.Worm é uma variante do W32.Welchia.Worm. Se o idioma do sistema operacional infectado for chinês, coreano ou inglês, o worm tentará fazer o download das correções
Microsoft Workstation Service Buffer Overrun e
Microsoft Messenger Service Buffer Overrun a partir do website do Microsoft® Windows Update. O worm tentará instalar essas correções e reiniciar o computador.
O worm também tenta remover os worms
W32.Mydoom.A@mm e
W32.Mydoom.B@mm (em inglês).
O W32.Welchia.B.Worm explora múltiplas vulnerabilidades, incluindo:
- A vulnerabilidade do RPC do DCOM (descrita no Microsoft Security Bulletin MS03-026), usando a porta TCP 135. Através desta vulnerabilidade, o worm ataca especificamente computadores com o Windows XP.
- A vulnerabilidade do WebDav (descrita no Microsoft Security Bulletin MS03-007), usando a porta TCP 80. O worm ataca especificamente computadores com o Microsoft IIS 5.0 usando esta vulnerabilidade. A maneira como o worm explora esta vulnerabilidade irá afetar sistemas baseados no Windows 2000 e poderá afetar sistemas baseados no Windows NT/XP.
- A vulnerabilidade de estouro de buffer do serviço da estação de trabalho (descrita no Microsoft Security Bulletin MS03-049), usando a porta TCP 445.
- A vulnerabilidade do Locator Service, usando a porta TCP 445 (descrita em Microsoft Security Bulletin MS03-001). O worm ataca especificamente computadores com o Windows 2000 usando esta vulnerabilidade.
A presença do arquivo %Windir%\system32\drivers\svchost.exe é uma indicação de possível infecção.
Esta ameaça é comprimida com UPX.
Nota: As definições de vírus com data de 11 de fevereiro de 2004, revisão 23 (20040211.023 ou Defs Version 60211w) ou posteriores detectarão esta ameaça.
O Symantec Security Response desenvolveu uma
ferramenta para remover ameaças do W32.Welchia.B.Worm.
Proteção
-
Versão de lançamento rápido inicial 11 de Fevereiro de 2004
-
Última versão de lançamento rápido 2 de Outubro de 2008 revisão 041
-
Versão diária certificada inicial 11 de Fevereiro de 2004
-
Última versão diária certificada 2 de Outubro de 2008 revisão 050
-
Data inicial para o lançamento certificado semanal 11 de Fevereiro de 2004
Clique para obter uma descrição mais detalhada das definições de vírus diárias certificadas e de lançamento rápido.
Avaliação da ameaça
Potencial
-
Nível de gravidade: Médio
-
Número de infecções: More than 1000
-
Número de sites: More than 10
-
Distribuição geográfica: Alto
-
Contenção da ameaça: Fácil
-
Remoção: Moderado
Dano
-
Nível do dano: Baixo
-
Acionador de atividade: Não disponível
-
Atividade: Não disponível
-
Envio de e-mail em grande escala: Não disponível
-
Exclui arquivos: Exclui os arquivos associados ao W32.Mydoom.A@mm e ao W32.Mydoom.B@mm.
-
Modifica arquivos: Não disponível
-
Divulga informações confidenciais: nNão disponível
-
Causa a instabilidade do sistema: Computadores com Windows 2000 que estejam vulneráveis sofrerão de instabilidades no sistema devido ao colapso do serviço RPC.
-
Compromete as configurações de segurança: Não disponível
Distribuição
-
Nível de distribuição: Médio
-
Assunto do e-mail: Não disponível
-
Nome do anexo: Não disponível
-
Tamanho do anexo: Não disponível
-
Portas: TCP 80, 135, 445
-
Unidades compartilhadas: Não disponível
-
Alvo da infecção: Não disponível
-
Marcação de hora do anexo: Não disponível
Elaborado por: Yana Liu
