W32.Welchia.B.Worm

En raison du nombre croissant de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 13.02.04, du Niveau 2 au Niveau 3.

W32.Welchia.B.Worm est une variante de W32.Welchia.Worm. Si la version du système d'exploitation de la machine infectée est en chinois, en coréen ou en anglais, le ver essaiera de télécharger les correctifs de Microsoft Saturation de la mémoire tampon dans le service Poste de travail et Débordement de mémoire tampon dans Messenger Service sur le site des mises à jour de Microsoft® Windows, de les installer, puis de redémarrer l'ordinateur.

Le ver tente également de supprimer les vers W32.Mydoom.A@mm et W32.Mydoom.B@mm.

W32.Welchia.B.Worm exploite de nombreuses vulnérabilités, parmi lesquelles :

• La vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
• La vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Ce ver vise en particulier les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'utilisation de l'exploit par le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.
• La vulnérabilité de saturation de la mémoire tampon dans le service Station de travail (décrite dans le Bulletin de sécurité Microsoft MS03-049) en utilisant le port TCP 445.
• La vulnérabilité du service Locator en utilisant le port TCP 445 (décrite dans le décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-001). Le ver vise particulièrement les machines Windows 2000 qui utilisent cet exploit.

La présence du fichier %Windir%\system32\drivers\svchost.exe indique la possibilité d'une infection.

Cette menace est compressée avec UPX.

---

Remarque : Les définitions de virus datées du 11.02.04 révision 23 (20040211.023 ou Defs Version 60211w) ou supérieures, détecteront cette menace.

---

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.B.Worm.

Protection

• Version initiale des définitions Rapid Release 11 Février 2004
• Dernière version des définitions Rapid Release 2 Octobre 2008 révision 041
• Version initiale des définitions Daily Certified 11 Février 2004
• Dernière version des définitions Daily Certified 2 Octobre 2008 révision 050
• Date de la version initial des définitions Weekly Certified 11 Février 2004

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

• Niveau de virulence : Moyen
• Nombre d'infections : More than 1000
• Nombre de sites : More than 10
• Distribution géographique : Elevé
• Contrôle de la menace : Facile
• Suppression : Modéré

Dommages

• Niveau de dommage : Faible
• Déclencheur : ne s'applique pas
• Charge utile : ne s'applique pas
• Envoi de courrier électronique à grande échelle : ne s'applique pas
• Supprime les fichiers : Il supprime les fichiers liés à W32.Mydoom.A@mm et W32.Mydoom.B@mm.
• Modifie les fichiers : ne s'applique pas
• Divulgue des informations confidentielles : ne s'applique pas
• Entraîne l'instabilité du système : Les machines Windows 2000 vulnérables auront des problèmes d'instabilité du système suite au crash du service RPC.
• Compromet les paramètres de sécurité : ne s'applique pas

Distribution

• Niveau de distribution : Moyen
• Objet du courrier électronique : ne s'applique pas
• Nom de la pièce jointe : ne s'applique pas
• Taille de la pièce jointe : ne s'applique pas
• Ports : TCP 80, 135, 445
• Lecteurs partagés : ne s'applique pas
• Cible d'infection : ne s'applique pas
• Horodatage de la pièce jointe : ne s'applique pas