Symantec América Latina
sitios mundiales
productos
compras en symantec
servicio y soporte
security response
downloads
acerca de symantec
búsqueda
comentarios
--

 


© 1995-2005 Symantec Corporation.
Todos los derechos reservados.
Nota Legal
Política de Privacidad

W32.Welchia.B.Worm

Categoría 3
Descubierto el: 11/02/2004
Actualizado por última vez el: 13/02/2004

Debido al incremento de notificaciones, a partir del 13 de febrero del 2003 Symantec Security Response cambió de categoría 2 a categoría 3 el nivel de esta amenaza.

W32.Welchia.B.Worm es una variante de W32.Welchia.Worm. Si la versión del sistema operativo del equipo infectado está en Chino, Coreano o Inglés, el gusano tratará de hacer la descarga de los parches de actualización para Microsoft Workstation Service Buffer Overrun y Microsoft Messenger Service Buffer Overrun del sitio de Microsoft® Windows instalarlos y reiniciar el equipo.

El gusano intentará la eliminación de los gusanos W32.Mydoom.A@mm y W32.Mydoom.B@mm.

W32.Welchia.B.Worm explota múltiples vulnerabilidades incluyendo:

  • Explota la vulnerabilidad de DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135. El gusano afecta específicamente equipos con Windows XP.
  • Explota la vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80. El gusano afecta específicamente a equipos que ejecutan Microsoft IIS 5.0. De igual forma, este gusano afectará equipos con Windows 2000 y puede afectar también equipos Windows NT/XP.
  • La vulnerabilidad de desborde de búfer del servicio Workstation (descrita en Microsoft Security Bulletin MS03-049) utilizando el puerto TCP 445.
  • La vulnerabilidad del servicio Localizador por medio del puerto 445 (descrita en Microsoft Security Bulletin MS03-001). El gusano específicamente localiza equipos con Windows 2000.

La existencia del archivo, %Windir%\system32\drivers\svchost.exe, es un indicativo de una posible infección.

La amenaza es comprimida con UPX.


Nota: Las definiciones de virus liberadas el 11 de febrero del 2004, revisión 23 (20040211.023 o versión 60211w) o posteriores detectan esta amenaza.


Symantec™ Security Response ha desarrollado una herramienta de eliminación para infecciones causadas por W32.Welchia.B.Worm.

También conocido como: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b
Tipo: Worm
Longitud de la infección: 12,800 bytes
Sistemas afectados: Windows 2000, Windows XP
Sistemas no afectados: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me
Referencias CVE: CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003

protección
  • Definiciones de virus (Intelligent Updater) *
  • 11/02/2004

  • Definiciones de virus (LiveUpdate™) **
  • 11/02/2004

    *

    Las definiciones de virus de Intelligent Updater se publican a diario, pero precisan ser descargadas e instaladas manualmente.
    Haga clic aquí para realizar la descarga manualmente.

    **

    Las definiciones de virus de LiveUpdate se publican, por lo general, todos los miércoles.Haga clic aquí si desea obtener más instrucciones sobre el funcionamiento de LiveUpdate.

    evaluación de peligrosidad

    Salvaje:

    Datos de la amenaza

    Media Baja Media

    Salvaje:
    Media

    Daño:
    Baja

    Distribución:
    Media

    Daño

    Distribución

    detalles técnicos

    Cuando W32.Welchia.B.Worm se ejecuta, realizará las siguientes tareas:

    1. Crea un archivo mutex llamado "WksPatch_Mutex." Con este archivo le es permitido en una instancia al gusano ejecutarse en memoria.

    2. Se copia así mismo como %System%\drivers\svchost.exe.


      Notas:
      • %System% es una variable. El gusano busca la carpeta de Sistema y se copia así mismo en dicha localidad. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP)
      • Existe un archivo real o legítimo de sistema %System%\svchost.exe, el cual tiene el mismo tamaño del archivo del gusano en equipos con Windows XP.

    3. Crea el siguiente servicio:

      Nombre del servicio: WksPatch
      Servicio binario: %System%\drivers\svchost.exe
      Nombre visual del servicio: Construido de la forma %string1% %string2% %string3%, en donde:
      1. %string1% es uno de los siguientes:
        • System
        • Security
        • Remote
        • Routing
        • Performance
        • Network
        • License
        • Internet

      2. %string2% es uno de los siguientes:
        • Logging
        • Manager
        • Procedure
        • Accounts
        • Event

      3. y %string3% es uno de los siguientes:
        • Provider
        • Sharing
        • Messaging
        • Client

          Por ejemplo, el nombre que se ve del servicio puede ser "Security Logging Sharing."

    4. Si existe el servicio "RpcPatch," lo elimina.


      Nota: Este servicio lo crea
      W32.Welchia.Worm.

    5. Busca las siguientes claves de registro para corroborar la existencia de W32.Mydoom.A@mm y W32.Mydoom.B@mm:
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
        Explorer\ComDlg32\Version
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
        Explorer\ComDlg32\Version


    6. Intenta la eliminación de W32.Mydoom.A@mm y W32.Mydoom.B@mm si encontró alguna clave anteriormente mencionada. La eliminación la hace de la siguiente forma:
      1. Elimina los siguientes archivos:
        • %System%\ctfmon.dll
        • %System%\Explorer.exe
        • %System%\shimgapi.dll
        • %System%\TaskMon.exe

      2. Elimina los valores "Taskmon" de las claves de registro:
        • HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
          CurrentVersion\Run
        • HKEY_CURRENT_USER\Software\Microsoft\Windows\
          CurrentVersion\Run


      3. Restaura los valores:

        "@"="%SystemRoot%\System32\webcheck.dll"

        En las claves de registro:

        HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
        \InProcServer32


      4. Sobreescribe los archivos HOSTS con el siguiente texto:

        #
        #

        127.0.0.1 localhost

    7. Genera direcciones IP aleatoria y envía información para explotar las direcciones IP en un intento de afectar los sistemas:
      • envía información al puerto TCP 135 para explotar la vulnerabilidad de DCOM RPC.
      • envía información al puerto TCP 80 para explotar la vulnerabilidad de WebDav.
      • envía información al puerto TCP 445 para explotar la vulnerabilidad de Workstation Service.
      • envía información al puerto TCP 445 para explotar la vulnerabilidad de Locator service.

    8. Ejecuta un servidor HTTP con un puerto aleatorio TCP, por lo que los equipos vulnerables pueden volverse a conectar a los equipos infectados y descargar en forma local el gusano y ejecutarlo como WksPatch.exe.

    9. Hace la búsqueda de archivos en IIS Virtual Roots y carpetas %Windir%\Help\\IISHelp\common con las siguientes extensiones, si la versión del sistema operativo del equipo infectado es Japonés:
      • .shtml
      • .shtm
      • .stm
      • .cgi
      • .php
      • .html
      • .htm
      • .asp


        Nota: El Virtual Roots y carpetas de ayuda de IIS están instaladas como parte de los servicios de información de internet del servidor Microsoft.

    10. Sobrescribe los archivos encontrados con el siguiente archivo .htm:




    11. Descarga uno de los siguientes parches del sitio de actualizaciones para Windows de Microsoft. Si la versión del sistema operativo de los equipos infectados es Chino, Coreano, o Inglés:
      • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
        /WindowsXP-KB828035-x86-CHS.exe
      • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
        /WindowsXP-KB828035-x86-KOR.exe
      • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
        /WindowsXP-KB828035-x86-ENU.exe
      • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
        /Windows2000-KB828749-x86-CHS.exe
      • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
        /Windows2000-KB828749-x86-KOR.exe
      • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
        /Windows2000-KB828749-x86-ENU.exe

    12. Instala el parche y reinicia el equipo.

    13. El gusano se inhabilita el 1o de junio del 2004 o después de 120 días de haberse ejecutado, según lo que suceda primero.

    recomendaciones

    Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

    instrucciones para la eliminación

    Eliminación de W32.Welchia.Worm utilizando la herramienta de eliminación
    Symantec Security Response ha creado una
    herramienta de eliminación para W32.Welchia.Worm, el uso de la herramienta es la forma más sencilla de eliminar esta amenaza.

    Procedimiento de eliminación manual
    Como una alternativa, usted puede eliminar esta amenaza en forma manual.
    Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
    1. Deshabilite Restaurar Sistema (Windows XP).
    2. Actualice las definiciones de virus.
    3. Reinicie la computadora en modo a prueba de fallas o modo VGA
    4. Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Welchia.B.Worm.
    Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:

    1. Deshabilitar Restaurar sistema de Windows XP
    Los usuarios de Windows Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

    Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

    2. Para actualizar definiciones de virus
    Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
    • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
    • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
      Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

    3. Reinicie su computadora en Modo a prueba de fallos o modo VGA
    • Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.
    4. Para buscar y eliminar los archivos infectados
    Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
    1. Ejecute una búsqueda completa de virus.
    2. Sí se detecta algún archivo infectado por W32.Welchia.B.Worm, haga clic en Eliminar.

    Historial de revisiones:

    • February 13, 2004: Upgraded Threat to a Category 3 from a Category 2.
    • February 12, 2004: Provided link to removal tool.


    Escrito por: Yana Liu