 |
Virus / WelchiaB |
SearchWiki Virus.RecentChanges Edit Page Page Revisions |
Il virus Welchia (o Nachi), Win32.Welchia.B, è un esempio di quello che succede quando a qualcuno viene in mente di scrivere un virus antivirus, à la Gibson (William, non Steve). Il Welchia è il nemico naturale dei virus Mydoom "A" e "B", e mentre si propaga tenta di cancellarli. Ma nel farlo, altera comunque il comportamento del PC infetto. Il virus sfrutta le seguenti vulnerabilità: - Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp- IIS5?/WEBDAV Buffer Overrun vulnerability
http://www.microsoft.com/technet/security/bulletin/MS03-007.aspUna volta impadronitosi del sistema, il Welchia si nasconde in /svchost.exe, e tenta di sradicare il virus MyDoom? e di installare alcune patch Microsoft. Per verificare se la macchina vittima è connessa ad Internet, il Welchia tenta di collegarsi a microsoft.com, intel.com e google.com; se questi siti sono disattivati da firewall, da DNS o con il trucco dell'hosts?, il virus non si propaga. Welchia controlla poi la data di sistema. Se è posteriore al giugno 2004, il virus si auto-elimina. Per consentire una stima delle infezioni sui server Web, il virus cancella alcuni file con un breve riepilogo di alcuni dei momenti piu' oscuri della storia del Giappone, tra i quali il lancio delle bombe atomiche contro Hiroshima e Nagasaki (per la cronaca, il virus la battezza "Fatso", ma il nome esatto e' "Fat man"; 'fatso' (shizue) sarebbe la traduzione approssimativa dal giapponese). http://www.eweek.com/article2/0,4149,1526328,00.asp Per rimuovere il virus esiste un apposito tool: http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.removal.tool.html ATTENZIONE: se si possiede Windows ME o Windows XP, prima di eseguire la rimozione occorre disattivare il Ripristino Configurazione (la procedura su Windows XP è diversa da quella per Windows ME Le patch anti-Welchia sono indicate nei seguenti: http://www.microsoft.com/technet/security/bulletin/MS03-007.asp http://www.microsoft.com/technet/security/bulletin/MS03-026.asp http://www.microsoft.com/technet/security/bulletin/MS03-039.asp http://www.microsoft.com/technet/security/bulletin/MS03-049.asp
Edit Page - Page Revisions - WikiHelp - SearchWiki - RecentChanges
Page last modified on March 02, 2004, at 10:12 PM