brasil
 sites mundiais
produtos
compras symantec
serviço e suporte
centro de resposta
downloads
parceiros
sobre a symantec
pesquisa
comentários


©1995-2009 Symantec Corporation.
Todos os direitos reservados.

 Notas Legais
Política de Privacidade
atualizações de segurança

W32.Welchia.Worm

Categoria 2
Data da descoberta: 18/08/2003
Data da última atualização: 18/06/2004

Devido a diminuição do número de submissões, o Symantec Security Response reduziu esta ameaça da Categoria para a Categoria 3.

O W32.Welchia.Worm é um worm que explora múltiplas vulnerabilidades:

  • Explora a vulnerabilidade do RPC do DCOM (descrita em Microsoft Security Bulletin MS03-026 - este recurso encontra-se em inglês) usando a porta TCP 135. O worm especificamente visa a computadores que executam Windows XP.
  • Explora a vulnerabilidade WebDav (descrita em Microsoft Security Bulletin MS03-007- este recurso encontra-se em inglês) usando a porta TCP 80. O worm especificamente visa a computadores que executam o Microsoft IIS 5.0. Este é comumente utilizado nos sistemas Windows 2000.

O W32.Welchia.worm faz o seguinte:
  • Tenta fazer o download da correção da vulnerabilidade do RPC do DCOM através do recurso Windows Update da Microsoft, instalá-lo e reiniciar o computador.
  • Procura por computadores ativos para infectá-los através do envio de um eco ICMP, ou PING, o que resulta em aumento do tráfego ICMP.
  • Tenta remover o W32.Blaster.Worm.

O Symantec Security Response criou uma ferramenta para remover infecções do W32.Welchia.worm.

O Security Response forneceu algumas informações para auxiliar os administradores de rede a identificar os computadores infectados pelo W32.Welchia.Worm. Consulte o documento em inglês Detecting traffic due to RPC worms para informações adicionais.

Também conhecido como: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo: Worm
Tamanho da infecção: 10,240 bytes
Sistemas afetados: Microsoft IIS, Windows 2000, Windows XP
Sistemas não afetados: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT
Referências CVE: CAN-2003-0109, CAN-2003-0352

proteção
  • Definições de vírus (LiveUpdate™ semanal)

    • 18/08/2003
  • Definições de vírus (Intelligent Updater)

    • 18/08/2003

    avaliação da ameaça

    Propagação

    Estatísticas da ameaça
    Baixo Médio Médio

    Propagação:
    Baixo

    Dano:
    Médio

    Distribuição:
    Médio

    Dano

    Distribuição

    • Portas: TCP 135(RPC DCOM), TCP 80(WebDav)

    detalhes técnicos

    Quando o W32.Welchia.Worm é executado, ele executa as seguintes ações:

    1. Cria uma cópia de si mesmo para:

      %System%\Wins\Dllhost.exe

      Nota: %System% é uma variável. O worm localiza a pasta de instalação do sistema (por padrão, C:\Windows ou C:\Winnt) e faz uma cópia de si mesmo nesse local.


    2. Cria uma cópia de %System%\Dllcache\Tftpd.exe como %System%\Wins\svchost.exe.

      Nota: Tftpd é um programa legítimo, não malicioso e portanto os produtos antivírus da Symantec não irão detectá-lo.

    3. Adiciona as sub-chaves:

      RpcPatch

      e

      RpcTftpd

      a chave de registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    4. Cria os seguintes serviços

      Nome do Serviço: RpcTftpd
      Nome de exibição do serviço: Network Connections Sharing
      Serviço Binário: %System%\wins\svchost.exe

      Este serviço será configurado para iniciar manualmente.


      Nome do Serviço: RpcPatch
      Nome de exibição do serviço: WINS Client
      Serviço Binário: %System%\wins\dllhost.exe

      Este serviço será configurado para iniciar automaticamente.

    5. Finaliza o processo Msblast e exclui o arquivo %System%\msblast.exe que foi depositado pelo worm W32.Blaster.Worm.

    6. O worm seleciona o endereço IP da vítima de duas formas diferentes. Ele tanto irá usar A.B.0.0 a partir do IP do IP do computador infectado e irá incrementá-lo, ou criará um endereço IP aleatório baseado em alguns endereços pré-definidos. Após selecionar o endereço de início, ele irá passar por um intervalo de redes de tamanho Class B. Por exemplo, se ele iniciar em A.B.0.0, ele irá formar endereços até A.B.255.255.

    7. O worm envia um eco ICMP, ou um PING, para verificar se o endereço IP criado pertence a um computador ativo da rede.

    8. Uma vez que o worm identifica um computador ativo na rede, ele enviará dados para a porta TCP 135, explorando a vulnerabilidade do TCP do DCOM, ou irá enviar através da porta TCP 80, para explorar a vulnerabilidade WebDav.

    9. Cria uma interface remota no host vulnerável que irá conectar-se ao computador do invasor, através de uma porta TCP aleatória entre 666 e 765 para receber instruções.

      Nota: Na maioria dos casos, a porta é a 707, porque o modelo de propagação do worm interage com a boblioteca do Windows C runtime.

    10. Inicia o servidor TFTP na máquina invasora, instruindo a vítima a conectar-se e fazer o download dos arquivos Dllhost.exe e Svchost.exe a partir da máquina invasora. Se o arquivo %System%\dllcache\tftpd.exe existir, o worm pode não conseguir fazer o download do arquivo svchost.exe.

    11. Verifica a versão do sistema operacional, o número do Service Pack e as variáveis do System Locale, tenta conectar-se ao servidor do Windows Update da Microsoft e fazer o download da correção da vulnerabilidade do RPC do DCOM.

    12. Uma vez que a atualização foi descarregada e executada, o worm irá reiniciar o computador para que a correção seja instalada.

    13. Verifica a data do computador, Se o ano for 2004, o worm irá desativar-se e excluir seus arquivos.
      • Exclui o arquivo %System%\Wins\Dllhost.exe
      • Exclui os serviços RpcPatch e RpcTftpd, e remove as chaves de registro associadas:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

      O worm não exclui o arquivo %System%\Wins\Svchost.exe, que é um servidor tftp não malicioso.

      Notas:
      • O worm ativa sua rotina de remoção somente se foi iniciado no ano de 2004. Se o worm foi executado continuamente desde 2003, ele não se removerá após 1 de Janeiro de 2004, a menos que voc6e reinicie o computador ou o worm.
      • A ferramenta de remoção do W32.Welchia.Worm funcionará normalmente em 2004.

    Intruder Alert
    Em 19 de agosto de 2003 a Symantec lançou uma Intruder Alert 3.6 W32_Welchia_Worm Policy (este recurso encontra-se em inglês).

    Norton Internet Security/Norton Internet Security Professional
    Em 20 de agosto de 2003 a Symantec disponibilizou assinaturas de IDS via LiveUpdate para detectar atividades relacionadas ao W32.Welchia.Worm.

    Symantec ManHunt
    • A tecnologia Protocol Anomaly Detection do Symantec ManHunt detecta a atividade associada a este worm como "Portsweep." Embora o ManHunt possa detectar a atividade desse worm usando essa tecnologia, você pode usar a assinatura padrão da "Vulnerabilidade de Transbordo de Buffer na Interface RPC do DCOM do Microsoft Windows" lançada no Security Update 4, para identificar com precisão a tentativa de exploração dessa vulnerabilidade.
    • O Security Update 7 foi lançado para fornecer assinaturas específicas para o W32.Welchia.Worm as quais incluem a detecção de outros atributos do W32.Welchia.Worm.

    Symantec Gateway Security
    • Em 18 de agosto de 2003 a Symantec disponibilizou uma atualização para o Symantec Gateway Security 1.0.
    • A tecnologia de inpeção total de aplicações protede contra esta vulnerabilidade da Microsoft, bloqueando por padrão todas as portas TCP listadas acima. Para máxima segurança, a terceira geração da tecnologia de inspeção de aplicação bloqueia de maneira inteligente a formação de túneis do tráfego do DCOM através de canais HTTP. Dessa maneira, ela fornece uma camada extra de proteção que não está disponível de maneira imediata nos mais comuns firewalls para filtro de rede.

    Symantec Host IDS
    Em 19 de agosto de 2003 a Symantec disponibilizou uma atualização para o Symantec Host IDS 4.1.

    recomendações

    O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

    • Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
    • Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
    • Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
    • Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
    • Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
    • Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
    • Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
    instruções de remoção

    Remoção usando a Ferramenta de Remoção do W32.Welchia.Worm
    O Symantec Security Response criou uma ferramenta para remover o W32.Welchia.Worm. Esta é a maneira mais fácil de se remover esta ameaça e deve ser tentada primeiro.

    Para obter informações sobre como fazer o download e executar a ferramenta de remoção do W32.Welchia.Worm clique aqui.

    Remoção manual
    Como alternativa ao uso da ferramenta, você pode remover esta ameaça manualmente.

    Estas instruções se aplicam a todos os produtos antivírus atuais e aos mais recentes da Symantec, inclusive as linhas de produto Symantec Antivírus e Norton AntiVirus.
    1. Desabilite a Restauração do sistema (Windows XP).
    2. Atualize as definições de vírus.
    3. Reinicie o computador ou finalize o processo do worm.
    4. Execute uma verificação de sistema completa para reparar ou excluir todos os arquivos detectados como W32.Welchia.Worm.
    5. Exclua os valores adicionados pelo worm ao registro.
    6. Exclua o arquivo Svchost.exe.
    Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

    1. Para desabilitar a Restauração do sistema (Windows XP)
    Usuários do Windows XP devem desligar, temporariamente, a Restauração do Sistema. Esta característica, habilitada por padrão, é usada pelo Windows XP para restaurar os arquivos no seu computador, caso tenham sido danificados. Quando um computador é infectado por um vírus, worm ou Cavalo de Tróia é possível que esses arquivos sejam restaurados pela Restauração do Sistema.

    Por padrão, o Windows previne que a Restauração do Sistema seja alterada por programas externos, inclusive programas antivírus. Assim, é possível que você, acidentalmente, restaure um arquivo infectado ou que verificadores on-line detectem uma ameaça naquele lugar. Para instruções sobre como desligar a Restauração do Sistema, leia a documentação do Windows ou o seguinte artigo:
    Para informações adicionais e como alternativa a desabilitar a Restauração do Sistema, veja na Microsoft Knowledge Base o artigo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID do Artigo: Q263455. (Este recurso encontra-se em inglês.)

    2. Para atualizar as definições de vírus

    O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:

    • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
    • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

    Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui.


    3. Para reiniciar o computador em Modo de Segurança ou finalizar o processo do Cavalo de tróia
      Windows 95/98/Me
      Para instruções sobre como fazer isso, consulte o documento Como iniciar o Windows 95/98/Me no Modo de Segurança.Restart the computer in Safe mode.

      Windows NT/2000/XP
      Para localizar e interromper o processo do Cavalo de tróia:
      1. Pressione as teclas Ctrl+Alt+Delete uma vez.
      2. Clique em Gerenciador de Tarefas.
      3. Clique na guia Processos.
      4. Clique duas vezes sobre a coluna Nome da Imagem para ordenar os processos por ordem alfabética.
      5. Role a lista e procure pelo serviço Dllhost.exe.
      6. Se você encontrar o arquivo, clique uma vez sobre ele para selecioná-lo e clique no botão Finalizar Processo.
      7. Saia do Gerenciador de Tarefas.

    4. Para executar uma verificação completa no sistema
    1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se houver arquivos detectados como infectados com W32.Welchia.Worm, clique em Excluir.

    5. Para remover o valor do registro

    CUIDADO: É altamente recomendável que você faça backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas no Registro podem resultar na perda permanente de dados ou na corrupção de arquivos. Modifique somente as chaves que são especificadas. Consulte o documento Como fazer backup do Registro do Windows para obter instruções.
    1. Clique em Iniciar e em Executar (A caixa de diálogo Executar será exibida).
    2. Digite regedit

      e clique em OK. (O Editor do Registro será aberto)

    3. Navegue até a seguinte chave:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    4. No painel direito, exclua as seguintes sub-chaves:

      RpcPatch

      e

      RpcTftpd

    5. Saia do Editor do Registro.


    6. Para excluir o arquivo Svchost.exe
    Navegue até a pasta %System%\Wins e exclua o arquivo Svchost.exe.

    Histórico de revisões:

    20 de agosto de 2003: Atualizadas as informações de codinome.

    19 de agosto de 2003: Adicionadas informações sobre o Symantec ManHunt e Symantec Intruder Alert.

    Relatório feito por: Frederic Perriot & Douglas Knowles