 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 12 Febbraio 2004 |
| NOME: Welchi.B |
| ALIAS: Nachi.B, Welchia.B |
| DIMENSIONE:12800 bytes |
Descrizione Breve Una nuova variante del worm Welchi è stata rilevata il 12 Febbraio 2004. Questa variante è funzionalmente simile al virus originale. Si copia nel pc infetto come SVCHOST.EXE. Il worm contiene link a diverse patch di sicurezza che tenta di installare. Welchi.B prova inoltre a rimuovere Mydoom. Potrebbe visualizzare il seguente testo sulla macchina infetta "LET HISTORY TELL FUTURE !" e riferimenti al lancio della bomba atomica durante la seconda guerra mondiale. Descizione dettagliata Il worm si avvia creando un mutex chiamato "WksPatch_Mutex" dopo di che si installa come servizio. Si copia nella directory di sistema di Windows come "svchost.exe" Quando la data di sistema è all'interno del mase di giugno il worm si disinstalla. In certe occasioni il worm tenta di scaricare una delle seguenti patch di windows: http://download.microsoft.com/download/4/d/3/4d375d48-04c7-411f-959b-3467c5ef1e9a/ Scandisce il computer per trovare file con queste estensioni: .shtml E lo sovrascrive con un file contenente il corpo del worm in formato HTML, il codice è il seguente: <html> L'accesso ad Internet viene controllato per cercare di risolvere casualmente uno dei seguenti: microsoft.com In caso di fallimento, ritenta ogni 20 minuti. Diffusione. Il worm si diffonde attraverso una backdoor installata nel sistema dalle varianti A e B del worm Mydoom. In più utilizza lo stesso exploit della variante originale del Welcki. La descrizione può essere trovata al seguente link: http://www.symbolic.it/rassegna/welchi.html Rilevazione F-Secure Anti-Virus per Windows rileva Welchi.B con gli aggiornamenti pubblicati il 12 Febbraio 2004: [FSAV_Database_Version] Version=2004-02-12_01 Descrizione: Mikko Hypponen, Katrin Tocheva 12 Febbraio2004; F-Secure Corporation |