Rilevato: 11 de Febbraio de 2004
Aggiornato: 13 de Febbraio de 2007 12:20:38 PM
Conosciuto anche come: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: Worm
Lunghezza dell’infezione: 12,800 bytes
Sistemi operativi minacciati: Windows 2000, Windows XP
In data 13.02.04, a causa di un aumento delle segnalazioni, il Symantec Security Response ha modificato il livello di gravità di questa minaccia, portandolo dalla categoria 2 alla 3.
W32.Welchia.B.Worm è una variante di
W32.Welchia.Worm. Se la versione di sistema operativo della macchina infetta è in lingua cinese (semplificata), cinese (tradizionale), coreana o inglese, il computer tenterà di scaricare i patch per l'
Overrun del buffer di Microsoft Workstation Service e per l'
Overrun del buffer di Microsoft Messenger Service dal sito Web Microsoft® Windows Update, installarli e riavviare il computer.
Il worm tenterà anche di rimuovere i worm
W32.Mydoom.A@mm e
W32.Mydoom.B@mm.
W32.Welchia.B.Worm si approfitta di più vulnerabilità tra le quali:
- La vulnerabilità DCOM RPC (descritta nel Microsoft Security Bulletin MS03-026) utilizzando la porta TCP 135. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer Windows XP.
- La vulnerabilità WebDav (descritta nel Microsoft Security Bulletin MS03-007) utilizzando la porta TCP 80. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer che eseguono Microsoft IIS 5.0. Lo sfruttamento di questa vulnerabilità ha un effetto sui sistemi Windows 2000 e potrebbe averlo sui sistemi Windows NT/XP.
- La vulnerabilità della sovrapposizione del buffer del servizio della workstation (descritta nel Microsoft Security Bulletin MS03-049) utilizzando la porta TCP 445.
- La vulnerabilità del servizio di individuazione utilizzando la porta TCP 445 (descritta nel Microsoft Security Bulletin MS03-001). Sfruttando questa vulnerabilità il worm prende di mira in modo specifico le macchine Windows 2000.
La presenza del file %Windir%\system32\drivers\svchost.exe indica una possibile infezione.
Questa minaccia è compressa con UPX.
Nota: la minaccia verrà rilevata dalle definizioni dei virus datate 11 febbraio 2004, revisione 23 (20040211.023 o Defs Version 60211w) o successive.
Symantec Security Response ha reso disponibile uno
strumento di rimozione per eliminare le infezioni causate da W32.Welchia.B.Worm.
Protezione
-
Versione iniziale delle definizioni Rapid 11 de Febbraio de 2004
-
Ultima versione delle definizioni Rapid Release 2 de Ottobre de 2008 revisione 041
-
Versione iniziale delle definizioni Daily certified 11 de Febbraio de 2004
-
Ultima versione delle definizioni Daily certified 2 de Ottobre de 2008 revisione 050
-
Data di iniziale delle definizioni Weekly Certified 11 de Febbraio de 2004
Fare per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.
Valutazione della minaccia
In circolazione
-
Livello di circolazione: Medio
-
Numero di infezioni: More than 1000
-
Numero di siti: More than 10
-
Distribuzione geografica: Alto
-
Contenimento della minaccia: Semplice
-
Rimozione: Moderato
Danno
-
Livello del danno: Basso
-
Elimina file: Elimina i file associati a W32.Mydoom.A@mm e W32.Mydoom.B@mm.
-
Causa instabilità del sistema: I computer Windows 2000 vulnerabili subiranno un'instabilità di sistema a causa del blocco del servizio RPC.
Distribuzione
-
Livello di distribuzione: Medio
-
Porte: TCP 80, 135, 445
Documento di: Yana Liu
