||||
Symantec.com > Security Response > W32.Welchia.Worm

W32.Welchia.Worm

Risikostufe 2: Gering

Entfernungsprogramm herunterladen | Druckansicht

Entdeckt am: 18 August 2003
Aktualisiert: 13 Februar 2007 12:10:10 PM
Auch bekannt als: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Typ: Worm
Infektionslänge: 10.240 Byte
Betroffene Systeme: Microsoft IIS, Windows 2000, Windows XP
CVE-Referenzen: CAN-2003-0109 CAN-2003-0352


Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response am 8. Oktober 2003 diese Bedrohung von Kategorie 4 auf Kategorie 3 herabgestuft.

W32.Welchia.Worm ist ein Wurm, der mehrere Schwachstellen ausnutzt.
  • Er nutzt die DCOM RPC-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-026) über den TCP-Port 135 aus. Dabei greift er speziell Computer mit dem Betriebssystem Windows XP über diese Schwachstelle an.
  • Er nutzt die WebDav-Schwachstelle (beschrieben im Microsoft Security Bulletin MS03-007) über den TCP-Port 80 aus. Dabei greift er speziell Computer, auf denen Microsoft IIS 5.0 läuft, über diese Schwachstelle an. Im Code dieses Wurms ist festgelegt, dass diese Bedrohung Windows 2000-Systeme und eventuell auch Windows NT/XP-Systeme angreift.

W32.Welchia.Worm bewirkt folgendes:
  • Er versucht, den DCOM RPC-Patch von der Windows Update-Website von Microsoft herunterzuladen, zu installieren, und anschließend den Computer neu zu starten.
  • Er sucht nach aktiven Computern, um diese durch Senden einer ICMP-Echo-Anfrage (oder PING) zu infizieren, was zu einer Steigerung des ICMP-Verkehrs führt.
  • Er versucht, die Infektion W32.Blaster.Worm zu entfernen.

Symantec hat ein Entfernungsprogramm für W32.Welchia.Worm-Infektionen entwickelt.

Security Response hat einige Informationen zur Verfügung gestellt, um Netzwerkadministratoren bei ihren fortwährenden Bemühungen zu helfen, mit W32.Welchia.Worm infizierte Computer in ihren Netzwerken aufzuspüren. Weitere Informationen finden Sie im englischsprachigen Dokument Detecting network traffic that may be due to RPC worms.

Schutz

  • Erste Version der Rapid Release-Definitionen: 18 August 2003
  • Neueste Version der Rapid Release-Definitionen: 20 August 2008 Änderung 017
  • Erste Version der Daily Certified-Definitionen: 18 August 2003
  • Neueste Version der Daily Certified-Definitionen: 20 August 2008 Änderung 016
  • Anfangsdatum der Weekly Certified-Definitionen: 18 August 2003

Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

  • Im Umlauf: Gering
  • Anzahl der Infektionen: More than 1000
  • Anzahl der Websites: More than 10
  • Geografische Verbreitung: Hoch
  • Bekämpfungschance: Mittel
  • Entfernung: Mittel

Schaden

  • Schadensstufe: Mittel
  • Löschen von Dateien: Löscht die Datei msblast.exe.
  • Verursachen von Systeminstabilität: Bei anfällige Windows 2000-Computern tritt eine Systeminstabilität aufgrund des RPC-Dienstausfalls auf.
  • Manipulation von Sicherheitseinstellungen: Installiert einen TFTP-Server auf allen infizierten Computern.

Verteilung

  • Grad der Verteilung: Mittel
  • Ports: TCP 135(RPC DCOM), TCP 80(WebDav)

Dokument verfasst von: Frederic Perriot
DIESE SEITE DRUCKEN
Suche nach Namen
Beispiel: W32.Beagle.AG@mm
Norton Premium Services! Wir bringen Ihren PC auf Vordermann.
Purchase Client Security
©1995 - 2008 Symantec Corporation
Wegweiser |
Rechtliche Hinweise |
Impressum |
Datenschutz |
Kontakt |
Websites weltweit |
Lizenzvereinbarungen