W32.Welchia.B.Worm

Debido al incremento de notificaciones, a partir del 13 de febrero del 2003 Symantec Security Response cambió de categoría 2 a categoría 3 el nivel de esta amenaza.
W32.Welchia.B.Worm es una variante de W32.Welchia.Worm. Si la versión del sistema operativo del equipo infectado está en Chino, Coreano o Inglés, el gusano tratará de hacer la descarga de los parches de actualización para Microsoft Workstation Service Buffer Overrun y Microsoft Messenger Service Buffer Overrun del sitio de Microsoft® Windows instalarlos y reiniciar el equipo.

El gusano intentará la eliminación de los gusanos W32.Mydoom.A@mm y W32.Mydoom.B@mm.

W32.Welchia.B.Worm explota múltiples vulnerabilidades incluyendo:

• Explota la vulnerabilidad de DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135. El gusano afecta específicamente equipos con Windows XP.
• Explota la vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80. El gusano afecta específicamente a equipos que ejecutan Microsoft IIS 5.0. De igual forma, este gusano afectará equipos con Windows 2000 y puede afectar también equipos Windows NT/XP.
• La vulnerabilidad de desborde de búfer del servicio Workstation (descrita en Microsoft Security Bulletin MS03-049) utilizando el puerto TCP 445.
• La vulnerabilidad del servicio Localizador por medio del puerto 445 (descrita en Microsoft Security Bulletin MS03-001). El gusano específicamente localiza equipos con Windows 2000.

También conocido como:	W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associates], WORM_NACHI.B [Trend], Worm.Win32.Welchia.b
Tipo:	Worm
Longitud de la infección:	12,800 bytes
Sistemas afectados:	Windows 2000, Windows XP
Sistemas no afectados:	DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me
Referencias CVE:	CAN-2003-0812, CAN-2003-0352, CAN-2003-0109, CAN-2003-0003

Definiciones de virus (Intelligent Updater) * 11/02/2004 Definiciones de virus (LiveUpdate™) ** 11/02/2004 * Las definiciones de virus de Intelligent Updater se publican a diario, pero precisan ser descargadas e instaladas manualmente. Haga clic aquí para realizar la descarga manualmente. ** Las definiciones de virus de LiveUpdate se publican, por lo general, todos los miércoles.Haga clic aquí si desea obtener más instrucciones sobre el funcionamiento de LiveUpdate.

Salvaje: Número de infecciones: 50 - 999 Número de sitios: Más de 10 Distribución geográfica: Alta Contención de peligrosidad: Fácil Eliminación: Moderado

Datos de la amenaza Salvaje: Media Daño: Baja Distribución: Media

Daño

• Disparador de carga útil: n/a
• Carga útil: n/a
  • Envío de mensajes a gran escala: n/a
  • Elimina archivos: Deletes the files associated with W32.Mydoom.A@mm and W32.Mydoom.B@mm.
  • Modifica archivos: n/a
  • Desestabiliza el sistema: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.
  • Publica información confidencial: n/a
  • Pone en peligro la configuración de seguridad: n/a

Distribución

• Línea de asunto del mensaje de correo electrónico: n/a
• Nombre del archivo adjunto: n/a
• Tamaño del archivo adjunto: n/a
• Fecha y hora del archivo adjunto: n/a
• Puertos: TCP 80, 135, 445
• Unidades compartidas: n/a
• Objetivo de la infección: n/a

Cuando W32.Welchia.B.Worm se ejecuta, realizará las siguientes tareas:

1. Crea un archivo mutex llamado "WksPatch_Mutex." Con este archivo le es permitido en una instancia al gusano ejecutarse en memoria.
   
   
2. Se copia así mismo como %System%\drivers\svchost.exe.
   
   

   ---

   Notas:
   • %System% es una variable. El gusano busca la carpeta de Sistema y se copia así mismo en dicha localidad. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP)
   • Existe un archivo real o legítimo de sistema %System%\svchost.exe, el cual tiene el mismo tamaño del archivo del gusano en equipos con Windows XP.

     ---

     
     
3. Crea el siguiente servicio:
   
   Nombre del servicio: WksPatch
   Servicio binario: %System%\drivers\svchost.exe
   Nombre visual del servicio: Construido de la forma %string1% %string2% %string3%, en donde:
   
   1. %string1% es uno de los siguientes:
      
      • System
      • Security
      • Remote
      • Routing
      • Performance
      • Network
      • License
      • Internet
        
        
   2. %string2% es uno de los siguientes:
      
      • Logging
      • Manager
      • Procedure
      • Accounts
      • Event
        
        
   3. y %string3% es uno de los siguientes:
      
      • Provider
      • Sharing
      • Messaging
      • Client
        
        Por ejemplo, el nombre que se ve del servicio puede ser "Security Logging Sharing."
        
        
4. Si existe el servicio "RpcPatch," lo elimina.
   
   

   ---

   Nota: Este servicio lo crea W32.Welchia.Worm.

   ---

   
   
5. Busca las siguientes claves de registro para corroborar la existencia de W32.Mydoom.A@mm y W32.Mydoom.B@mm:
   
   • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
     Explorer\ComDlg32\Version
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
     Explorer\ComDlg32\Version
     
     
6. Intenta la eliminación de W32.Mydoom.A@mm y W32.Mydoom.B@mm si encontró alguna clave anteriormente mencionada. La eliminación la hace de la siguiente forma:
   
   1. Elimina los siguientes archivos:
      
      • %System%\ctfmon.dll
      • %System%\Explorer.exe
      • %System%\shimgapi.dll
      • %System%\TaskMon.exe
        
        
   2. Elimina los valores "Taskmon" de las claves de registro:
      
      • HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\
        CurrentVersion\Run
      • HKEY_CURRENT_USER\Software\Microsoft\Windows\
        CurrentVersion\Run
        
        
   3. Restaura los valores:
      
      "@"="%SystemRoot%\System32\webcheck.dll"
      
      En las claves de registro:
      
      HKEY_LOCAL_MACHINE\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
      \InProcServer32
      
      
   4. Sobreescribe los archivos HOSTS con el siguiente texto:
      
      #
      #
      
      127.0.0.1 localhost
      
      
7. Genera direcciones IP aleatoria y envía información para explotar las direcciones IP en un intento de afectar los sistemas:
   
   • envía información al puerto TCP 135 para explotar la vulnerabilidad de DCOM RPC.
   • envía información al puerto TCP 80 para explotar la vulnerabilidad de WebDav.
   • envía información al puerto TCP 445 para explotar la vulnerabilidad de Workstation Service.
   • envía información al puerto TCP 445 para explotar la vulnerabilidad de Locator service.
     
     
8. Ejecuta un servidor HTTP con un puerto aleatorio TCP, por lo que los equipos vulnerables pueden volverse a conectar a los equipos infectados y descargar en forma local el gusano y ejecutarlo como WksPatch.exe.
   
   
9. Hace la búsqueda de archivos en IIS Virtual Roots y carpetas %Windir%\Help\\IISHelp\common con las siguientes extensiones, si la versión del sistema operativo del equipo infectado es Japonés:
   
   • .shtml
   • .shtm
   • .stm
   • .cgi
   • .php
   • .html
   • .htm
   • .asp
     
     

     ---

     Nota: El Virtual Roots y carpetas de ayuda de IIS están instaladas como parte de los servicios de información de internet del servidor Microsoft.

     ---

     
     
10. Sobrescribe los archivos encontrados con el siguiente archivo .htm:
    
    
    
    
    
11. Descarga uno de los siguientes parches del sitio de actualizaciones para Windows de Microsoft. Si la versión del sistema operativo de los equipos infectados es Chino, Coreano, o Inglés:
    
    • download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a
      /WindowsXP-KB828035-x86-CHS.exe
    • download.microsoft.com/download/a/4/3/a43ea017-9abd-4d28-a736-2c17dd4d7e59
      /WindowsXP-KB828035-x86-KOR.exe
    • download.microsoft.com/download/e/a/e/eaea4109-0870-4dd3-88e0-a34035dc181a
      /WindowsXP-KB828035-x86-ENU.exe
    • download.microsoft.com/download/9/c/5/9c579720-63e9-478a-bdcb-70087ccad56c
      /Windows2000-KB828749-x86-CHS.exe
    • download.microsoft.com/download/0/8/4/084be8b7-e000-4847-979c-c26de0929513
      /Windows2000-KB828749-x86-KOR.exe
    • download.microsoft.com/download/3/c/6/3c6d56ff-ff8e-4322-84cb-3bf9a915e6d9
      /Windows2000-KB828749-x86-ENU.exe
      
      
12. Instala el parche y reinicia el equipo.
    
    
13. El gusano se inhabilita el 1o de junio del 2004 o después de 120 días de haberse ejecutado, según lo que suceda primero.

Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

• Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
• Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
• Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
• Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.

Eliminación de W32.Welchia.Worm utilizando la herramienta de eliminación
Symantec Security Response ha creado una

1. Deshabilite Restaurar Sistema (Windows XP).
2. Actualice las definiciones de virus.
3. Reinicie la computadora en modo a prueba de fallas o modo VGA
4. Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Welchia.B.Worm.
   

• Cómo habilitar o deshabilitar Restaurar sistema en Windows XP.

• Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
• Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
  Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

• Para usuarios con equipos Windows 95, 98, Me, 2000, o XP, reinicie la computadora en Modo a prueba de fallos. Para más información lea:
  
  Cómo reiniciar Windows 9x o Windows ME en Modo a prueba de fallos.
  Cómo iniciar Windows XP en Modo a prueba de fallos.

• Para usuarios con Windows NT 4 , reinicie su computadora en modo VGA.
  

• Para productos de consumidor Norton AntiVirus: Lea el documento, "Cómo configurar Norton Antivirus para que analice todos los archivos."
• Para productos Symantec AntiVirus Enterprise: Lea el documento, "Cómo averiguar si un producto antivirus empresarial de Symantec está configurado para analizar todos los archivos."
  

1. Ejecute una búsqueda completa de virus.
2. Sí se detecta algún archivo infectado por W32.Welchia.B.Worm, haga clic en Eliminar.

Historial de revisiones:

• February 13, 2004: Upgraded Threat to a Category 3 from a Category 2.
• February 12, 2004: Provided link to removal tool.

Escrito por: Yana Liu