||||
Symantec.com > Security Response > W32.Welchia.Worm

W32.Welchia.Worm

Livello di rischio 2: Basso

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 18 de Agosto de 2003
Aggiornato: 13 de Febbraio de 2007 12:09:50 PM
Conosciuto anche come: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo: Worm
Lunghezza dell’infezione: 10,240 bytes
Sistemi operativi minacciati: Microsoft IIS, Windows 2000, Windows XP
Riferimenti CVE: CAN-2003-0109 CAN-2003-0352


A causa della diminuzione delle segnalazioni pervenute, Symantec Security Response ha aggiornato W32.Welchia.Worm alla Category 2 dalla Categoria 3 il 26 febbraio 2004.

W32.Welchia.Worm è un worm che sfrutta varie vulnerabilità tra cui:
  • la vulnerabilità DCOM RPC (descritta in Microsoft Security Bulletin MS03-026) utilizzando la porta TCP 135. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer Windows XP.
  • la vulnerabilità WebDav (descritta in Microsoft Security Bulletin MS03-007) utilizzando la porta TCP 80. Lo sfruttamento di questa tecnica consente al worm di prendere di mira in modo specifico i computer che eseguono Microsoft IIS 5.0. Come codificato nel worm, questo sfruttamente ha un impatto sui sistemi Windows 2000 e può averne sui sistemi Windows NT/XP.
Azioni di W32.Welchia.Worm:
  • Il worm tenta di scaricare la patch DCOM RPC dal sito Web di Microsoft Windows Update, di installarla e poi di riavviare il computer.
  • Il worm controlla la presenza di computer attivi inviando un echo ICMP, o PING, che determinerà un incremento del traffico ICMP.
  • Il worm tenterà inoltre di rimuovere W32.Blaster.Worm.

Symantec Security Response ha sviluppato uno strumento di rimozione per ripulire le infezioni causate da W32.Welchia.Worm.

Security Response ha fornito alcune informazioni per aiutare gli amministratori di rete ad individuare i computer infetti da W32.Welchia.Worm sulla rete. Per ulteriori informazioni, consultare il documento, "Detecting traffic due to RPC worms".

Protezione

  • Versione iniziale delle definizioni Rapid 18 de Agosto de 2003
  • Ultima versione delle definizioni Rapid Release 25 de Settembre de 2008 revisione 041
  • Versione iniziale delle definizioni Daily certified 18 de Agosto de 2003
  • Ultima versione delle definizioni Daily certified 26 de Settembre de 2008 revisione 003
  • Data di iniziale delle definizioni Weekly Certified 18 de Agosto de 2003

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione: Basso
  • Numero di infezioni: More than 1000
  • Numero di siti: More than 10
  • Distribuzione geografica: Alto
  • Contenimento della minaccia: Moderato
  • Rimozione: Moderato

Danno

  • Livello del danno: Medio
  • Elimina file: elimina msblast.exe.
  • Causa instabilità del sistema: Le macchine Windows 2000 vulnerabili presenteranno instabilità di sistema a causa del blocco del servizio RPC.
  • Compromette le impostazioni di sicurezza: Installa un server TFTP su tutte le macchine infette.

Distribuzione

  • Livello di distribuzione: Medio
  • Porte: TCP 135(RPC DCOM), TCP 80(WebDav)

Documento di: Frederic Perriot
STAMPA QUESTA PAGINA
Ricerca per nome
Esempio: W32.Beagle.AG@mm
Norton 360: Versione 2.0.
Purchase Client Security
©1995 - 2008 Symantec Corporation
Indice del sito |
Note legali |
Trattamento dei dati riservati |
Contattaci |
Siti globali |
Contratti di licenza