|||
Symantec.com > Security Response > W32.Welchia.B.Worm

W32.Welchia.B.Worm

Nivel de riesgo 2: Bajo

Descargar herramienta de eliminación | Página de impresión

Detectado: 11 de Febrero de 2004
Actualizado: 13 de Febrero de 2007 12:21:02 PM
También conocido como: W32/Nachi.worm.b [McAfee], W32/Nachi-B [Sophos], Win32.Nachi.B [Computer Associ, WORM_NACHI.B [Trend], Worm.Win32.Welchia.b [Kaspersk
Tipo: Gusano
Longitud de la infección: 12,800 bytes
Sistemas afectados: Windows 2000, Windows XP
Referencias CVE: CAN-2003-0812 CAN-2003-0352 CAN-2003-0109 CAN-2003-0003


Debido al incremento de notificaciones, a partir del 13 de febrero del 2004 Symantec Security Response cambió de categoría 2 a categoría 3 el nivel de esta amenaza.

W32.Welchia.B.Worm es una variante de W32.Welchia.Worm. Si la versión del sistema operativo del equipo infectado está en Chino, Coreano o en Inglés, el gusano tratará de hacer la descarga de los parches de actualización para Microsoft Workstation Service Buffer Overrun y Microsoft Messenger Service Buffer Overrun del sitio de Microsoft® Windows, instalarlos y reiniciar el equipo.

El gusano intentará la eliminación de los gusanos W32.Mydoom.A@mm y W32.Mydoom.B@mm.

W32.Welchia.B.Worm explota múltiples vulnerabilidades incluyendo:
  • Explota la vulnerabilidad de DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135. El gusano afecta específicamente equipos con Windows XP.
  • Explota la vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80. El gusano afecta específicamente a equipos que ejecutan Microsoft IIS 5.0. De igual forma, este gusano afectará equipos con Windows 2000 y puede afectar también equipos Windows NT/XP.
  • La vulnerabilidad de desborde de búfer del servicio Workstation (descrita en Microsoft Security Bulletin MS03-049) utilizando el puerto TCP 445.
  • La vulnerabilidad del servicio Localizador por medio del puerto 445 (descrita en Microsoft Security Bulletin MS03-001). El gusano específicamente localiza equipos con Windows 2000.

La existencia del archivo, %Windir%\system32\drivers\svchost.exe, es un indicativo de una posible infección.

La amenaza es comprimida con UPX.

Nota: Las definiciones de virus liberadas el 11 de febrero del 2004, revisión 23 (20040211.023 o versión 60211w) o posteriores detectan esta amenaza.


Symantec™ Security Response ha desarrollado una herramienta de eliminación para infecciones causadas por W32.Welchia.B.Worm.

Protección

  • Versión inicial de definiciones de Respuesta rápida 11 de Febrero de 2004
  • Última versión de definiciones de Respuesta rápida 20 de Noviembre de 2008 revisión 056
  • Versión inicial de definiciones Certificadas diariamente 11 de Febrero de 2004
  • Última versión de definiciones Certificadas diariamente 21 de Noviembre de 2008 revisión 003
  • Versión inicial de definiciones Certificadas semanalmente 11 de Febrero de 2004

Haga clic aquí para obtener una descripción detallada de las definiciones de virus de Respuesta rápida y de las Certificadas diariamente.

Evaluación de las amenazas

Invasión

  • Nivel de invasión: Media
  • Número de infecciones: More than 1000
  • Número de sitios: More than 10
  • Distribución geográfica: Alta
  • Contención de las amenazas: Facilidad
  • Eliminación: Moderado

Daño

  • Nivel del daño: Bajo
  • Elimina archivos: Deletes the files associated with W32.Mydoom.A@mm and W32.Mydoom.B@mm.
  • Desestabiliza el sistema: Vulnerable Windows 2000 machines will experience system instability due to the RPC service crash.

Distribución

  • Nivel de distribución: Media
  • Puertos: TCP 80, 135, 445

Artículo de: Yana Liu
IMPRIMIR ESTA PÁGINA
Buscar por nombre
Ejemplo: W32.Beagle.AG@mm
Oferta Especial
©1995 - 2008 Symantec Corporation
Mapa del sitio |
Nota legal |
Política de privacidad |
Contáctenos |
Sitios mundiales |
Acuerdos de licencia