 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 18 Agosto 2004 |
| NOME: Welchi |
| ALIAS: Nachi, Welchia, WORM_MSBLAST.D, Sachi |
| DIMENSIONE:10240 bytes |
Descrizione Breve Un nuovo worm RPC e' stato rilevato per la prima volta il 18 Agosto 2003. Questo worm e' funzionalmente simile a Lovsan. Utilizza due file chiamati DLLHOST.EXE e SVCHOST.EXE (quest'ultimo e' un server tftp). E' da notare che DLLHOST.EXE e SVCHOST.EXE sono i nomi di due file di sistema di Windows. Questi file si trovano nelle seguenti directory: Il worm %systemDir%\wins\DLLHOST.EXE Il server tftp rinominato: %systemDir%\wins\SVCHOST.EXE Welchi infetta i computer utilizzando la stessa vulnerabilita' del worm
Lovsan Inoltre, Welchi cerca di infettare i server web basati su MS IIS 5.0
tramite l'exploit WebDAV. Per ulteriori notizie su questa vulnerabilita',
scoperta nel marzo 2003, si veda: Welchi infetta i computer con Windows XP utilizzando il bug di RPC mentre utilizza il bug di WebDAV per attaccare sia i computer con Windows XP che Windows 2000. Welchi cerca quindi di rimuovere Lovsan.A dalla macchine e applica le patch di Microsoft per eliminare il bug di RPC. A questo scopo, cerca di prelevare le fix da 8 URL differenti, corrispondenti a 4 linguaggi (Inglese, Cinese, Cinese Semplificato e Coreano) per i sistemi Windows XP e 2000. Durante la disinfezione di Lovsan.A, il worm ricerca un processo il cui nome contenga la stringa "msblast" e lo termina. Welchi procede poi alla rimozione del file %systemdir%\msblast.exe Questo elimina la presenza di Lovsan.A dal sistema. Apparentemente il Registro di sistema non viene modificato. Il worm contiene la seguente stringa di testo, che non viene mai visualizzata:
=========== I love my wife & baby :)~~~ Welcome Chian~~~
Come si afferma in questa stringa, il worm smette di funzionare quando la data del sistema raggiunge il 2004. Questa caratteristica puo' percio' essere utilizzata come metodo alternativo per rimuovere il worm dal computer. Tool per la rimozione F-Secure ha creato un tool per la rimozione di welchi. Il tool e' disponibile in: ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.zip ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.exe Istruzioni per la rimozione: ftp://ftp.f-secure.com/anti-virus/tools/f-welchi.txt Questo worm crea un servizio che attiva il server tftp. Il servizio non sara' fermato e il legittimo (ma rinominato) server tftp non sara' cancellato da FSAV. Per rimuovere il servizio dovete utilizzare il tool di disinfezione. Il server tftp puo' essere rimosso manulamente dal computer, la sua posizione e' stata indicata prima. Disinfezione Come indicato all'interno del virus stesso, il worm smettera' di funzionare quando la data e' pari a 2004. Questa caratteristica puo' essere sfruttata per rimuoverlo dal computer. La procedura puo' essere automatizzata usando i comandi date e shutdown, ad esempio: DATE 01-01-2004 Rilevazione F-Secure Anti-Virus rileva Welchi con gli aggiornamenti pubblicati il 18 agosto 2003: [FSAV_Database_Version] Version=2003-08-18_03 F-Secure Corporation |
