Spanish
 sitios mundiales
productos
compras en Symantec
servicio y soporte
security response
downloads
socios de negocios
acerca de Symantec
búsqueda
comentarios


©1995-2008 Symantec Corporation.
Todos los derechos reservados.

 Nota Legal
Política de Privacidad
actualizaciones de seguridad

W32.Welchia.Worm

Categoría 2
Descubierto el: 18/08/2003
Actualizado por última vez el: 08/11/2006

Debido a la disminución en el número de notificaciones recibidas de esta amenaza, Symantec Security Response ha cambiado de Categoría 3 a Categoría 2 el nivel de esta amenaza a partir del 26 de febrero del 2004.
W32.Welchia.Worm es un gusano que explota múltiples vulnerabilidades:

  • Explota la vulnerabilidad de DCOM RPC (descrita en Microsoft Security Bulletin MS03-026) utilizando el puerto TCP 135. El gusano afecta específicamente equipos con Windows XP.
  • Explota la vulnerabilidad WebDav (descrita en Microsoft Security Bulletin MS03-007) utilizando el puerto TCP 80. El gusano afecta específicamente a equipos que ejecutan Microsoft IIS 5.0. De igual forma, este gusano afectará equipos con Windows 2000 y puede afectar también equipos Windows NT/XP.

El gusano realiza las siguientes tareas:
  • Intenta descargar el parche DCOM RPC de Windows Update del sitio web de Microsofty después reinicia el equipo.
  • El gusano busca equipos activos para contaminarlos enviando una señal de eco (echo) ICMP o PING, lo cual resulta en un incremento de tráfico de ICMP.
  • El gusano también intenta eliminar al W32.Blaster.Worm.
Symantec Security Response ha desarrollado una herramienta de eliminación para limpiar contaminaciones de W32.Welchia.Worm.

Security Response ha proporcionado cierta información, para auxiliar los administradores de red en unir esfuerzas de mantener fuera de operación, a los equipos infectados por W32.Welchia.Worm en sus respectivas redes. Por favor vea el documento, "Detecting traffic due to RPC worms" (este recurso está en inglés) para mayor información.

También conocido como: W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Tipo: Worm
Longitud de la infección: 10,240 bytes
Sistemas afectados: Microsoft IIS, Windows 2000, Windows XP
Sistemas no afectados: Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT
Referencias CVE: CAN-2003-0109, CAN-2003-0352

protección
  • Definiciones de virus (LiveUpdate™ Weekly)

    • 18/08/2003
  • Definiciones de virus (Intelligent Updater)

    • 18/08/2003

    evaluación de peligrosidad

    Salvaje

    Datos de la amenaza
    Baja Media Media

    Salvaje:
    Baja

    Daño:
    Media

    Distribución:
    Media

    Daño

    Distribución

    • Puertos: TCP 135(RPC DCOM), TCP 80(WebDav)

    detalles técnicos

    Cuando W32.Welchia.Worm se ejecuta, realizará las siguientes tareas:

    1. Se copia así mismo a:

      %System%\Wins\Dllhost.exe

      NOTA: %System% es una variable. El gusano busca la carpeta de Sistema y se copia así mismo en dicha localidad. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

    2. Hace una copia de %System%\Dllcache\Tftpd.exe, como %System%\Wins\svchost.exe.

      NOTA: Svchost.exe es un programa legítimo, el cual no es malicioso, y por lo tanto los productos antivirus de Symantec no lo detectarán.

    3. Agrega la sub-llave:

      RcpPatch

      y:

      RpcTftpd

      a la llave de registro:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicies
    4. Crea los siguientes servicios:

      Nombre de Servicio: RpcTftpd
      Nombre de servicio visual: Network Connections Sharing
      Servicio Binario: %System%\wins\svchost.exe

      Este servicio será configurado para inicarse en forma manual.

      Nombre de Servicio: RpcPatch
      Nombre de servicio visual: WINS Client
      Servicio Binario: %System%\wins\dllhost.exe

      Este servicio será configurado para iniciarse en forma automática.
    5. Finaliza el proceso de Msblast, y elimina el archivo %System%\msblast.exe que es insertado por el gusano, W32.Blaster.Worm.
    6. El gusano seleccionará la dirección IP de la víctima de dos diversas maneras. También utilizará A.B.0.0 de la IP del equipo infectado de A.B.C.D y contará hacia arriba, o construirá una dirección IP al azar basado en algunas direcciones tipo hard-code.

      Después de seleccionar la dirección del comienzo, contará para arriba a través de la gama de las redes clase B, por ejemplo, si comienza en A.B.0.0, contará hasta por lo menos A.B.255.255.
    7. El gusano enviará un eco ICMP o PING, para verificar si la dirección IP construida corresponde a un equipo activo en la red.
    8. Una vez que el gusano identifica un equipo activo en la red, también enviará información al puerto TCP 135, para explotar la vulnerabilidad DCOM RPC o enviará información al puerto TCP 80 para explotar la vulnerabilidad de WebDav.
    9. Crea un interprete de comandos remoto en el equipo host vulnerado que conectará de nuevo al equipo que lo atacó en un puerto aleatorio TCP entre el 666 y el 765 para recibir instrucciones.

      Nota: En la mayoría de los casos el puerto es el 707, debido a la forma en que interactua el modelo del gusano con la implementación de la rutina .dll de Windows.

    10. Lanza el servidor de TFTP en el equipo que ataca, manda al equipo de la víctima conectarse y descargar Dllhost.exe y Svchost.exe de la máquina que ataca. Si existe el archivo, %System%\dllcache\tftpd.exe, el gusano puede que no descargue el archivo svchost.exe.
    11. Verifica la versión del sistema operativo, el número del Service Pack y el sistema local e intenta conectarse al sitio de Microsoft para descargar el parche apropiado de la vulnerabilidad DCOM RPC.
    12. Una vez descargado y ejecutado, el gusano reiniciará la computadora para concluir la instalación.
    13. Verifica la fecha en el sistema de la computadora. Si el año es el 2004 el gusano será deshabilitado y se eliminará por si mismo, de la siguiente forma:
      • Elimina el archivo %System%\Wins\Dllhost.exe
      • Elimina los servicios RpcPatch y RpcTftpd, además retira las claves de registro asociadas:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

      El gusano no borra el archivo, %System%\Wins\Svchost.exe, el cual es un servidor no maligno tftp.

      Notas:
      • El gusano activa su rutina de eliminación sólo si se inicio en el año 2004. Si el gusano se ha estado ejecutando en forma continua desde el año 2003, no se eliminará por si mismo hasta después del 1o de enero del 2004, a menos que a menos que usted reinicie manualmente el equipo o el gusano.
      • La herramienta de eliminación de W32.Welchia.Worm continuará trabajando de manera normal en el año 2004.
    Intruder Alert
    El 19 de agosto del 2003, Symantec liberó Intruder Alert 3.6 W32_Welchia_Worm Policy.

    Norton Internet Security/Norton Internet Security Professional
    El 20 de agosto 2003, Symantec liberó firmas IDS por medio de LiveUpdate para detectar la actividad de W32.Welchia.Worm.

    Symantec Client Security
    El 20 de agosto 2003, Symantec liberó firmas IDS por medio de LiveUpdate para detectar la actividad de W32.Welchia.Worm.

    Symantec ManHunt
    • La tecnología de Symantec ManHunt Protocol Anomaly Detection detecta la actividad asociada con esta vulnerabilidad "Portsweep." Aunque ManHunt puede detectar actividad asociada con la tecnología Protocol Anomaly Detection, usted puede usar la firma personalizada "Microsoft DCOM RPC Buffer Overflow", liberado en Security Update 4, para identificar específicamente esta amenaza.
    • Security Update 7 se ha liberado con la firma específica para W32.Welchia.Worm para incluir la detección de W32.Welchia.Worm y más atributos.

    Symantec Gateway Security
    • El 18 de agosto del 2003, Symantec liberó una actualización para Symantec Gateway Security 1.0.
    • La tecnología completa inspection firewall technology de Symantec protege contra esta vulnerabilidad, bloqueando todos los puertos TCP arriba mencionados, en forma predeterminada. Para máxima seguridad, la tercera generación de la tecnología bloquea en forma inteligente haciendo un túnel de tráfico de DCOM sobre los canales del HTTP de esta forma, proporciona una capa adicional que no se encuentra fácilmente en los firewalls de filtración en una red común.

    Symantec Host IDS
    El 19 de agosto del 2003, Symantec liberó una actualización para Symantec Host IDS 4.1.

    recomendaciones

    Symantec Security Response invita a todos los usuarios y administradores a adherirse a las siguientes "mejores prácticas" básicas para su seguridad:

    • Desconecte y elimine todos los servicios que no sean necesarios. De forma predeterminada, muchos sistemas operativos instalan servicios auxiliares que no son imprescindibles, como clientes de FTP, telnet y servidores de web. A través de estos servicios penetran buena parte de los ataques. Por lo tanto, si se eliminan, las amenazas combinadas dispondrán de menos entradas para realizar ataques y tendrá que mantener menos servicios actualizados con parches.
    • Si una amenaza combinada explota uno o varios servicios de red, deshabilite o bloquee el acceso a estos servicios hasta que aplique el parche correspondiente.
    • Mantenga siempre el parche actualizado, sobre todo en equipos que ofrezcan servicios públicos, a los que se puede acceder a través de algún firewall como, por ejemplo, servicios HTTP, FTP, de correo y DNS.
    • Implemente una política de contraseñas. Con contraseñas complejas, resulta más difícil descifrar archivos de contraseñas en equipos infectados. De este modo, ayuda a evitar que se produzcan daños cuando un equipo es atacado o, al menos, limita esta posibilidad.
    • Configure su servidor de correo electrónico para que bloquee o elimine los mensajes que contengan archivos adjuntos que se utilizan comúnmente para extender virus, como archivos .vbs, .bat, .exe, .pif y .scr.
    • Aísle rápidamente los equipos que resulten infectados para evitar que pongan en peligro otros equipos de su organización. Realice un análisis posterior y restaure los equipos con medios que sean de su confianza.
    • Instruya a sus empleados para que no abran archivos adjuntos a menos que los esperen. El software descargado desde Internet no debe ejecutarse, a menos que haya sido analizado previamente en busca de virus. Basta únicamente con visitar un sitio web infectado para que pueda infectarse si las vulnerabilidades del explorador de web no han sido correctamente corregidas con parches.
    instrucciones para la eliminación


    Eliminación de W32.Welchia.Worm utilizando la herramienta de eliminación
    Symantec Security Response ha creado una herramienta de eliminación para W32.Welchia.Worm, el uso de la herramienta es la forma más sencilla de eliminar esta amenaza.

    Procedimiento de eliminación manual
    Como una alternativa, usted puede eliminar esta amenaza en forma manual.
    Las instrucciones siguientes corresponden a todos los productos Symantec Antivirus incluyendo los corporativos Symantec Antivirus y la línea de productos Norton Antivirus para consumidor.
    1. Deshabilite Restaurar Sistema (Windows XP).
    2. Actualice las definiciones de virus.
    3. Reinicie la computadora y finalice los servicios del gusano.
    4. Ejecute una búsqueda completa de virus en el equipo y elimine los archivos que se detecten infectados con W32.Welchia.Worm.
    5. Elimine los valores agregados al registro de windows.
    6. Elimine el archivo Svchost.exe.
    Para detalles específicos de cada uno de estos pasos, lea las siguientes instrucciones:

    1. Deshabilitar Restaurar sistema de Windows XP
    Los usuarios de Windows Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

    Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," de la base de conocimientos de Microsoft.

    2. Para actualizar definiciones de virus
    Symantec Security Response comprueba extensamente la calidad de todas sus definiciones de virus que coloca en sus servidores. Existen dos formas de obtener las definiciones de virus más recientes:
    • Ejecute LiveUpdate (esta es la forma más sencilla de obtener las definiciones de virus). Las definiciones de virus se colocan en los servidores de LiveUpdate una vez por semana (generalmente los miércoles), a menos que se produzca un ataque generalizado de virus. Para determinar si existen definiciones para esta amenaza disponibles a través de LiveUpdate, consulte las Definiciones de virus (LiveUpdate), en la sección "Protección", en la parte superior de este documento.
    • Descargue las definiciones utilizando la herramienta Intelligent Updater. Las definiciones de virus se publican en los servidores los días laborales (de lunes a viernes) y deben descargarse e instalarse manualmente desde el Sitio Web Symantec Security response. Para determinar si existen definiciones disponibles para esta amenaza a través de Intelligent Updater, consulte las Definiciones de virus (Intelligent Updater), en la sección "Protección", en la parte superior de este documento.
      Las definiciones de virus por medio Intelligent Updater están disponibles: Lea "Cómo actualizar los archivos d definiciones de virus utilizando Virus definition Update installer" para instrucciones detalladas.

    3. Reinicie la computadora y finalice los servicios del gusano
      Windows 95/98/Me
      Reinicie la computadora en Modo a prueba de fallos. Todos los sistemas operativos a 32 bits, excepto Windows NT, pueden ser reiniciados en modo a prueba de fallos.Para mayor información, consulte el documento Cómo iniciar su equipo en Modo seguro.

      Windows NT/2000/XP
      Para detener los servicios del gusano:
      1. Abra los servicios en Herramientas administrativas, que están dentro del Panel de control.
      2. Busque en la lista del lado derecho por los siguientes nombres:
        • Conexiones compartidas de red (Network Connections Sharing en inglés)
        • Cliente WINS (WINS Client en inglés)
      3. Si encuentra estos servicios, de un clic con el botón derecho sobre de ellos y después haga clic en Detener.
      4. Salga de la ventana de Servicios.
    4. Para buscar y eliminar los archivos infectados
    Inicie su programa de antivirus Symantec y asegúrese de que esté configurado para analizar todos los archivos.
    1. Ejecute una búsqueda completa de virus.
    2. Sí se detecta algún archivo infectado por W32.Welchia.Worm, haga clic en Eliminar.

    5. Elimine los valores agregados al registro de Windows

    PRECAUCION: Symantec recomienda enfáticamente que haga un respaldo de su registro de Windows antes de hacer cualquier cambio. La modificación incorrecta puede provocar la pérdida de datos o corromper archivos de forma permanente. Haga las modificaciones sólo en las llaves especificas. Lea el documento, "Cómo hacer una copia de respaldo del registro de Windows".

    1. Haga clic en Inicio y después clic en Ejecutar. (El cuadro de diálogo de Ejecutar aparece.)
    2. Escriba regedit

      Después haga clic en Aceptar. (Se abre el Editor de Registro.)
    3. Navegue a la llave:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    4. Elimine las sub claves:

      RpcPatch

      y:

      RpcTftpd
    5. Cierre el Editor de Registro.

    6. Para eliminar el archivo Svchost.exe
    Busque la carpeta %System%\Wins y elimine el archivo Svchost.exe.

    Historial de revisiones:

    • El 26 de Febrero del 2004: Se cambio a categoría 2 el nivel de esta amenaza en función a la disminución del número de envíos.
    • El 16 de Diciembre del 2003: Se agregaron detalles al paso 13 de la sección "Detalles técnicos".
    • El 29 de Noviembre del 2003: Se eliminó Windows NT de la lista de sistemas afectados.
    • El 8 de Octubre del 2003: Se cambio a categoría 3 el nivel de esta amenaza en función a la disminución del número de envíos.
    • El 3 de Septiembre del 2003: Se agregó información referente a la vulnerabilidad MS03-007 exploit.
    • El 28 de Agosto del 2003: Se anexo liga electrónica del documento referente al tráfico de red y Welchia.
    • El 26 de Agosto del 2003: Se actualizó información del procedimiento de eliminación manual.
    • El 20 de Agosto del 2003:
      • Se agregó información sobre la disponibilidad de firmas SCS IDS.
      • Se agregó información sobre la disponibilidad de firmas NIS/NIS Pro IDS.
      • Se actualizó información Alias.
    • El 19 de agosto del 2003: Se anexó información de actualizaciones para Symantec ManHunt y Symantec Intruder Alert updates.

    Escrito por: Frederic Perriot & Douglas Knowles