• Vulnerabilidad de DCOM RPC utilizando el puerto TCP 135. El virus afecta específicamente equipos con Windows XP.
• Vulnerabilidad WebDav utilizando el puerto TCP 80. El virus afecta a equipos que ejecutan Microsoft IIS 5.0. También, afecta equipos con Windows 2000 y puede hacerlo con aquellos que usen Windows NT/XP.

Realiza las siguientes tareas:

• Intenta descargar el parche DCOM RPC de Windows Update del sitio web de Microsoft y reinicia el equipo.
• Busca equipos activos para contaminarlos enviando una señal de eco (echo) ICMP o PING, lo cual resulta en un incremento de tráfico de ICMP.
• Intenta eliminar al W32.Blaster.Worm.

También es conocido como: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [KAV].

Tipo: Worm

Longitud de la infección: 10,240 bytes

Sistemas afectados: Microsoft IIS, Windows 2000, Windows NT, Windows XP

Sistemas no afectados: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me

Daño:

• Desestabiliza el sistema: Equipos Windows 2000 vulnerables experimentarán inestabilidad en el sistema, debido al desplome del servicio RPC.
• Elimina archivos: Elimina msblast.exe.
• Pone en peligro la configuración de seguridad: Instala un servidor TFTP en todos los equipos infectados.

Cuando W32.Welchia.Worm se ejecuta, realizará las estas tareas:

• Se copia así mismo a: C:\Windows\System\Wins\Dllhost.exe (Windows 95/98/Me), C:\Winnt\System32\Wins\Dllhost.exe (Windows NT/2000), o C:\Windows\System32\Wins\Dllhost.exe (Windows XP).
• Hace una copia de %System%\Dllcache\Tftpd.exe, como %System%\Wins\svchost.exe.
• Agrega la sub-llave: RcpPatch y RpcTftpd a la llave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicies
• Crea los siguientes servicios: RpcTftpd; Network Connections Sharing; %System%\wins\svchost.exe.
• Finaliza el proceso de Msblast, y elimina el archivo %System%\msblast.exe que es insertado por el gusano, W32.Blaster.Worm.
• Seleccionará la dirección IP de la víctima de dos diversas maneras.
• Enviará un eco ICMP o PING, para verificar si la dirección IP construida corresponde a un equipo activo en la red.
• Enviará información al puerto TCP 135, para explotar la vulnerabilidad DCOM RPC o enviará información al puerto TCP 80 para explotar la vulnerabilidad de WebDav.
• Crea un interprete de comandos remoto en el equipo host vulnerado que conectará de nuevo al equipo que lo atacó en un puerto aleatorio TCP entre el 666 y el 765 para recibir instrucciones.
• Lanza el servidor de TFTP en el equipo que ataca, manda al equipo de la víctima conectarse y descargar Dllhost.exe y Svchost.exe de la máquina que ataca.
• Verifica la versión del sistema operativo, el número del Service Pack y el sistema local e intenta conectarse al sitio de Microsoft para descargar el parche apropiado de la vulnerabilidad DCOM RPC.
• Reiniciará la computadora para concluir la instalación.
• Verifica la fecha en el sistema de la computadora. Si el año es el 2004 el gusano será deshabilitado y se eliminará por si mismo.

Recomendaciones:

• Desconecte y elimine todos los servicios que no sean necesarios.
• Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
• Mantenga siempre el parche actualizado.
• Implemente una política de contraseñas.
• Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
• Aísle rápidamente los equipos que resulten infectados.
• No abrir archivos adjuntos a menos que sean esperados.

Procedimiento de eliminación manual:

• Deshabilite Restaurar Sistema (Windows XP).
• Actualice las definiciones de virus.
• Reinicie la computadora y finalice los servicios del gusano.
• Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Welchia.Worm.
• Elimine los valores agregados al registro de windows.
• Elimine el archivo Svchost.exe.

Más información en Virus Attack.