Entdeckt am: 11 Februar 2004
Aktualisiert: 13 Februar 2007 12:21:20 PM
Auch bekannt als: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Typ: Worm
Infektionslänge: 12.800 Byte
Betroffene Systeme: Windows 2000, Windows XP
Aufgrund der steigenden Zahl von Meldungen hat Symantec Security Response am 13. Februar 2004 diese Bedrohung von Kategorie 2 auf Kategorie 3 hochgestuft.
W32.Welchia.B.Worm ist eine Variante von
W32.Welchia.Worm. Wenn auf dem infizierten Computer eine chinesische, koreanische oder englische Version des Betriebssystems installiert ist, versucht der Wurm, Patches für den
Pufferüberlauf im Microsoft Arbeitsstationsdienst und den
Pufferüberlauf im Microsoft Nachrichtendienst von der Microsoft® Windows Update-Website herunterzuladen, zu installieren und anschließend den Computer neu zu starten.
Der Wurm versucht außerdem, die Würmer
W32.Mydoom.A@mm und
W32.Mydoom.B@mm zu entfernen.
W32.Welchia.B.Worm nutzt mehrere Sicherheitslücken aus, dazu zählen folgende:
- Die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135. Dabei greift der Wurm speziell Computer mit dem Betriebssystem Windows XP über diese Schwachstelle an.
- Die WebDav-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-007) über den TCP-Port 80. Dabei greift der Wurm speziell Computer, auf denen Microsoft IIS 5.0 läuft, über diese Schwachstelle an. Wenn der Wurm diese Schwachstelle ausnutzt, wirkt sich dies auf Windows 2000-Betriebssysteme und unter Umständen auch auf Windows NT/XP-Systeme aus.
- Die Pufferüberlaufschwachstelle im Arbeitsstationsdienst (beschrieben im Microsoft Security Bulletin MS03-049) über den TCP-Port 445.
- Die Locator-Dienst-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-001) über den TCP-Port 445. Dabei greift der Wurm speziell Computer mit dem Betriebssystem Windows XP über diese Schwachstelle an.
Wenn die Datei %Windir%\system32\drivers\svchost.exe vorhanden ist, ist dies ein Hinweis auf eine mögliche Infektion.
Diese Bedrohung wurde mit UPX komprimiert.
Hinweis: Virusdefintionen vom 11. Februar 2004 mit der Revisionsnummer 23 (20040211.023 oder Definitionsversion 60211w) oder später entdecken diese Bedrohung.
Symantec Security Response hat ein
Programm zur Entfernung von W32.Welchia.B.Worm-Infektionen entwickelt.
Schutz
-
Erste Version der Rapid Release-Definitionen: 11 Februar 2004
-
Neueste Version der Rapid Release-Definitionen: 30 April 2008 Änderung 034
-
Erste Version der Daily Certified-Definitionen: 11 Februar 2004
-
Neueste Version der Daily Certified-Definitionen: 30 April 2008 Änderung 036
-
Anfangsdatum der Weekly Certified-Definitionen: 11 Februar 2004
Klicken Sie , um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.
Beurteilung der Bedrohung
Im Umlauf
-
Im Umlauf: Mittel
-
Anzahl der Infektionen: More than 1000
-
Anzahl der Websites: More than 10
-
Geografische Verbreitung: Hoch
-
Bekämpfungschance: Einfach
-
Entfernung: Mittel
Schaden
-
Schadensstufe: Gering
-
Auslöser des destruktiven Auftrags: N/A
-
Destruktiver Auftrag: N/A
-
E-Mail-Versand in großem Maßstab: N/A
-
Löschen von Dateien: Löscht die mit W32.Mydoom.A@mm und W32.Mydoom.B@mm verbundenen Dateien.
-
Ändern von Dateien: N/A
-
Offenlegung vertraulicher Informationen: N/A
-
Verursachen von Systeminstabilität: Instabilität bei anfälligen Windows 2000-Computern aufgrund eines Ausfalls des RPC-Diensts.
-
Manipulation von Sicherheitseinstellungen: N/A
Verteilung
-
Grad der Verteilung: Mittel
-
Titel der E-Mail (Betreffzeile): N/A
-
Name des Anhangs: N/A
-
Größe des Anhangs: N/A
-
Ports: TCP 80, 135, 445
-
Freigegebene Laufwerke: N/A
-
Ziel der Infektion: N/A
-
Datum des Anhangs: N/A
Dokument verfasst von: Yana Liu
