Symantec

Symantec Security Response
http://securityresponse.symantec.com

W32.Welchia.Worm

Catégorie 2
Découvert le : 18/08/2003
Dernière mise à jour le : 26/10/2004

En raison du nombre réduit de virus soumis, Symantec Security Response a réévalué cette menace qui passe, à compter du 08.10.03, du Niveau 4 au Niveau 3.
W32.Welchia.Worm est un ver qui exploite de multiples vulnérabilités :
  • Il exploite la vulnérabilité DCOM RPC (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-026) en utilisant le port TCP 135. Ce ver vise en particulier les machines Windows XP utilisant cet exploit.
  • Il exploite la vulnérabilité WebDav (décrite dans le bulletin de sécurité de Microsoft Microsoft Security Bulletin MS03-007) en utilisant le port TCP 80. Le ver vise particulièrement les machines exécutant Microsoft IIS 5.0 qui utilisent cet exploit. L'exploit tel qu'il est codé dans le ver affectera les systèmes Windows 2000 et pourrait également affecter les systèmes Windows NT/XP.

Le ver W32.Welchia.Worm agit ainsi :
  • Il tente de télécharger le correctif DCOM RPC sur le site Windows Update de Microsoft et de l'installer, puis il réinitialise l'ordinateur.
  • Il recherche des machines actives à infecter en envoyant un écho ICMP, ou PING, qui se traduira par un trafic ICMP plus élevé.
  • Il tente également de supprimer W32.Blaster.Worm.

Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.Worm.

Security Response propose des informations complémentaires destinées aux administrateurs réseau, afin de les aider à détecter sur leur réseau les machines infectées par W32.Welchia.Worm. Pour en savoir plus, veuillez consulter le document intitulé Detecting traffic due to RPC worms.		  
Lien vers l'outil de suppression : http://www.symantec.com/region/fr/techsupp/avcenter/venc/data/fr-w32.welchia.worm.removal.tool.html

Egalement appelé : W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm [McAfee], WORM_MSBLAST.D [Trend], Lovsan.D [F-Secure], W32/Nachi-A [Sophos], Win32.Nachi.A [CA], Worm.Win32.Welchia [Kaspersky]
Type : Ver
Etendue de l’infection : 10 240 octets
Systèmes affectés : Microsoft IIS, Windows 2000, Windows XP
Systèmes non affectés : Linux, Macintosh, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT
Références CVE : CAN-2003-0109, CAN-2003-0352

Protection
  • Définitions de virus (LiveUpdate™ Weekly)

    • 18/08/2003
  • Définitions de virus (Intelligent Updater)

    • 18/08/2003

    évaluation de la menace

    Wild

    Métrique de la menace
    Faible Moyen Moyen

    Wild :
    Faible

    Dommages :
    Moyen

    Distribution :
    Moyen

    Dommages

    Distribution

    • Ports : TCP 135(RPC DCOM), TCP 80(WebDav)

    détails techniques

    Lorsque W32.Welchia.Worm s'exécute, il réalise les opérations suivantes :

    1. Il se copie sous :

      %System%\Wins\Dllhost.exe

      Remarque : %System% est une variable. Le ver détermine l'emplacement du dossier System et se copie sur cet emplacement. Par défaut, il s'agit de C:\Winnt\System32 (Windows 2000) ou C:\Windows\System32 (Windows XP).
    2. Il fait une copie de %System%\Dllcache\Tftpd.exe qu'il nomme %System%\Wins\svchost.exe.

      Remarque : Tftpd est un programme légitime, non malveillant, que les produits antivirus de Symantec ne détectent pas.
    3. Il ajoute les sous-clés :

      RpcPatch

      et :

      RpcTftpd

      à la clé de registre :

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    4. Il crée les services suivants :

      Nom du service : RpcTftpd
      Nom complet du service : Partage connexions réseau
      Binaire du service : %System%\wins\svchost.exe

      Ce service sera configuré de façon à être démarré manuellement.

      Nom du service : RpcPatch
      Nom complet du service : Client WINS
      Binaire du service : %System%\wins\dllhost.exe

      Ce service sera configuré de façon à démarrer automatiquement.
    5. Il termine le processus Msblast et supprime le fichier %System%\msblast.exe qui est déposé par le ver W32.Blaster.Worm.
    6. Il sélectionne l'adresse IP victime de deux façons différentes. Il utilise A.B.0.0 à partir de l'adresse IP A.B.C.D de la machine infectée et compte à partir de là, ou il élabore une adresse IP aléatoire basée sur des adresses codées en dur.

      Après avoir sélectionné l'adresse de départ, il compte à partir d'une gamme de réseaux de Classe B. Par exemple, s'il commence à A.B.0.0, il comptera au moins jusqu'à A.B.255.255.
    7. Le ver envoie une requête d'écho ICMP, ou PING, afin de vérifier si l'adresse IP élaborée appartient à une machine active du réseau.
    8. Dès que le ver identifie qu'une machine est bien active sur le réseau, il envoie des données sur le port TCP 135 qui exploite la vulnérabilité DCOM RPC, ou il envoie des données sur le port TCP 80 afin d'exploiter la vulnérabilité WebDav.
    9. Il crée un shell distant sur l'hôte vulnérable qui se reconnectera alors sur l'ordinateur réalisant l'attaque, sur un port TCP aléatoire, entre 666 et 765, et attendra les instructions.
      Remarque : Dans la plupart des cas, il s'agit du port 707, en raison de la façon dont le modèle de thread du ver interagit avec l'implémentation de la .dll runtime pour Windows C.
    10. Il lance le serveur TFTP sur la machine réalisant l'attaque, ordonne à la machine victime de se connecter à la machine réalisant l'attaque et de télécharger Dllhost.exe et Svchost.exe. Si le fichier %System%\dllcache\tftpd.exe existe, il est possible que le ver ne télécharge pas svchost.exe.
    11. Il vérifie la version du système d'exploitation de l'ordinateur, le numéro de Service Pack, et System Locale puis tente de se connecter au site Windows Update de Microsoft et de télécharger le correctif approprié de la vulnérabilité DCOM RPC.
    12. Une fois la mise à jour téléchargée et exécutée, le ver redémarrera l'ordinateur afin de terminer l'installation du correctif.
    13. Il vérifie la date système de l'ordinateur. Si l'année est 2004, le ver se désactive et se supprime lui-même.
      • Il supprime le fichier %System%\Wins\Dllhost.exe
      • Il supprime les services RpcPatch et RpcTftpd, et supprime les clés de registre associées :

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

      Le ver ne supprime pas le fichier %System%\Wins\Svchost.exe, qui est un serveur tftp non malveillant.

      Remarques :
      • Le ver n'active sa routine de suppression que s'il est démarré en 2004. Si le ver est actif depuis 2003 sans interruption, il ne se supprimera pas lui-même après le 1er janvier 2004 à moins que vous ne redémarriez l'ordinateur ou le ver manuellement.
      • L'outil de suppression de W32.Welchia.Worm fonctionnera toujours normalement en 2004.

    Intruder Alert
    Le 19 août 2003, Symantec a publié une stratégie Intruder Alert 3.6 W32_Welchia_Worm Policy.

    Norton Internet Security / Norton Internet Security Professional
    Le 20 août 2003, Symantec a publié des signatures IDS via LiveUpdate afin de détecter l'activité de W32.Welchia.Worm.

    Symantec Client Security
    Le 20 août 2003, Symantec a publié des signatures IDS via LiveUpdate afin de détecter l'activité de W32.Welchia.Worm.

    Symantec ManHunt
    • Les technologies de détection des anomalies de protocole de Symantec ManHunt identifient l'activité générée par cette exploitation comme "Portsweep". Bien que ManHunt détecte l'activité générée par cette exploit grâce à sa technologie de détection des anomalies de protocole, vous pouvez utiliser la signature personnalisée "Microsoft DCOM RPC Buffer Overflow", publiée dans la Mise à jour de sécurité 4, afin d'identifier précisément l'exploit envoyé.
    • La Mise à jour de sécurité 7 a été publiée afin de fournir des signatures spécifiques à W32.Welchia.Worm, et permettre la détection de davantage d'attributs de W32.Welchia.Worm.

    Symantec Gateway Security
    • Le 18 août 2003, Symantec a publié une mise à jour pour Symantec Gateway Security 1.0.
    • La technologie de vérification d'applications des firewalls Symantec vous protège contre cette vulnérabilité de Microsoft, bloquant par défaut tous les ports TCP énumérés ici. Pour une sécurité optimale, la technologie de vérification d'applications de troisième génération bloque intelligemment la mise sous tunnel du trafic DCOM sur des canaux HTTP, fournissant ainsi une couche supplémentaire de protection qui n'est généralement pas disponible dans les firewalls de filtrage réseau les plus courants.

    Symantec Host IDS
    Le 19 août 2003, Symantec a publié une mise à jour pour Symantec Host IDS 4.1.

    recommandations

    Symantec Security Response invite utilisateurs et administrateurs à adopter les mesures de base les plus efficaces en matière de sécurité :

    • Eteignez et supprimez tous les services inutiles. Par défaut, de nombreux systèmes d’exploitation installent des services auxiliaires qui ne sont pas primordiaux, tels qu’un client FTP, telnet, et un serveur Web. Ces services sont la porte ouverte aux attaques. S’ils sont supprimés, les attaques ont moins de chances de parvenir et vous avez moins de services à entretenir au moyen de correctifs.
    • Si une attaque multiple exploite un ou plusieurs services réseau, désactivez ou bloquez l’accès à ces services jusqu’à ce qu’un correctif soit appliqué.
    • Maintenez toujours le niveau de vos correctifs à jour, en particulier sur les ordinateurs qui hébergent des services publics et qui sont accessibles via un firewall, tels que HTTP, FTP, messagerie, et services DNS.
    • Appliquez une stratégie un mot de passe. Sur les ordinateurs compromis, il est plus difficile de violer les fichiers de mots de passe si ceux-ci sont complexes. Ceci vous permet d’éviter ou de limiter les dommages potentiels encourus par un ordinateur compromis.
    • Configurez votre serveur de messagerie afin de bloquer ou de supprimer les e-mails qui contiennent des annexes couramment utilisées pour propager des virus, comme par exemple les fichiers .vbs, .bat, .exe, .pif et .scr.
    • Isolez rapidement les ordinateurs infectés afin d’éviter de compromettre d’avantage votre organisation. Effectuez une analyse complète et restaurez les ordinateurs utilisant des médias approuvés.
    • Exhortez les employés à n’ouvrir que les pièces jointes attendues. Aussi, n’exécutez aucun logiciel téléchargé depuis Internet qui n’a pas subi de recherche de virus. Le simple fait de visiter un site Internet compromis peut provoquer une infection si certaines vulnérabilités du navigateur ne sont pas corrigées.
    instructions de suppression

    Suppression à l'aide de l'outil de suppression de W32.Welchia.Worm
    Symantec Security Response a créé un outil de suppression pour nettoyer toutes les infections de W32.Welchia.Worm. Essayez cet outil, il constitue le moyen le plus simple pour éliminer cette menace. Pour obtenir l'outil de suppression de W32.Welchia.Worm, lisez l'article intitulé Outil de suppression de W32.Welchia.Worm.

    Suppression manuelle
    Si vous n'utilisez pas l'outil de suppression, vous pouvez éradiquer cette menace manuellement. Les instructions suivantes sont valables pour tous les derniers produits anti-virus Symantec, y compris les gammes Symantec AntiVirus et Norton AntiVirus.
    1. Désactivez l'option de restauration du système (Windows XP)
    2. Actualisez les définitions de virus.
    3. Redémarrez l'ordinateur ou terminez le processus du ver.
    4. Exécutez une analyse complète du système et éliminez tous les fichiers détectés comme W32.Welchia.Worm.
    5. Supprimez les valeurs de la base de registre.
    6. Supprimez le fichier Svchost.exe.
      Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

      1. Désactiver l'option de restauration du système (Windows XP)
      Si vous utilisez Windows XP, nous vous conseillons de désactiver temporairement la restauration du système. Windows XP utilise cette fonctionnalité, qui est activée par défaut afin de restaurer des fichiers sur votre ordinateur, s'ils venaient à être endommagés. Si un ordinateur a été infecté par un virus, un ver ou un cheval de Troie, il est possible que ce virus, ver ou cheval de Troie soit sauvegardé par la Restauration du système.

      Windows empêche des programmes tiers, y compris les programmes anti-virus, de modifier la Restauration du système. Les programmes ou outils anti-virus ne peuvent donc pas supprimer les menaces dans le dossier de Restauration du système. Par conséquent, la Restauration du système peut restaurer un fichier infecté sur votre ordinateur même après que vous ayez nettoyé les fichiers infectés sur tous les autres emplacements.

      Une analyse des virus peut également détecter une menace dans le dossier de restauration du système même si vous avez supprimé la menace.

      Pour savoir comment désactiver la Restauration du système, consultez la documentation de Windows ou l'un des articles suivants :
      Pour plus d'informations, et pour obtenir une méthode différente afin de désactiver la Restauration du système de Windows Me, consultez le document (en anglais) de la base de connaissances de Microsoft : AntiVirus Tools Cannot Clean Infected Files in the _Restore Folder, ID de l'article : Q263455.

      2. Mettre à jour les définitions de virus
      Symantec Security Response réalise des tests complets de qualité pour toutes les définitions de virus avant leur publication sur nos serveurs. Il y a deux façons de se procurer les dernières définitions de virus :

      • La méthode la plus simple pour obtenir les dernières définitions de virus est d'exécuter LiveUpdate : Celles-ci sont publiées chaque semaine sur les serveurs LiveUpdate (en principe tous les mercredis) sauf en cas d'attaque virale critique. Pour savoir si des définitions de LiveUpdate sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (LiveUpdate) de l'encadré Protection de cet article.
      • L'autre consiste à télécharger les définitions de virus en utilisant Intelligent Updater. Les définitions de virus d'Intelligent Updater sont publiées les jours ouvrés aux Etats-Unis (du lundi au vendredi). Elles doivent être téléchargées sur le site Web de Symantec Security Response puis installées manuellement. Pour savoir si des définitions d'Intelligent Updater sont disponibles pour cette menace, reportez-vous à la ligne Définitions de virus (Intelligent Updater) de l'encadré Protection de cet article.

        Les définitions de virus d'Intelligent Updater sont disponibles : Pour des instructions détaillées, consultez le document intitulé Comment mettre à jour les définitions de virus en utilisant l'Intelligent Updater.


      3. Redémarrer l’ordinateur en mode sans échec ou arrêter les services troyen
        Windows 95/98/Me
        Redémarrez l’ordinateur en mode sans échec. Tous les systèmes d'exploitation 32 bits Windows, sauf Windows NT, peuvent être redémarrés en mode sans échec. Pour des instructions détaillées, consultez le document Comment démarrer l'ordinateur en mode sans échec.

        Windows NT/2000/XP
        Pour arrêter les services du ver :
        1. Ouvrez la fenêtre Services à partir d'Outils d'Administration, dans le Panneau de configuration.
        2. Faites défiler la liste dans le volet de droite jusqu'à trouver les noms suivants :
          • Partage connexions réseau
          • Client WINS
        3. Si vous trouvez ces services, cliquez sur chacun d'eux avec le bouton droit de la souris puis cliquez sur Arrêter.
        4. Quittez les Services.
        4. Rechercher les fichiers infectés et les supprimer
        1. Démarrez votre programme anti-virus Symantec et assurez-vous que ce dernier a été configuré pour analyser tous les fichiers.
        2. Exécutez une analyse complète du système.
        3. Si un fichier est détecté comme infecté par W32.Welchia.Worm, cliquez sur Supprimer.


        5. Supprimer les valeurs de la base de registre
        ATTENTION : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les clés indiquées. Pour des instructions détaillées, consultez le document Comment faire une copie de sauvegarde du Registre de Windows.
        1. Cliquez sur Démarrer, puis sur Exécuter. (La boîte de dialogue Exécuter apparaît.)
        2. Tapez regedit

          Puis cliquez sur OK. (L’Editeur du Registre apparaît.)

        3. Accédez à la clé suivante :

          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        4. Supprimez les sous-clés :

          RpcPatch

          et :

          RpcTftpd

        5. Quittez l’Editeur du Registre.

        6. Supprimer le fichier Svchost.exe
        Accédez au dossier %System%\Wins et supprimez le fichier Svchost.exe.


        Historique :

        • 16 décembre 2003 : Ajout d'informations complémentaires à l'étape 13 de la section "Détails techniques".
        • 29 novembre 2003 : Suppression de Windows NT dans la liste des systèmes affectés.
        • 8 octobre 2003 : Changement du niveau 4 au niveau 3, en raison du nombre réduit de virus soumis.
        • 3 septembre 2003 : Ajout d'informations sur l'exploit MS03-007.
        • 28 août 2003 : Ajout du lien au document contenant les informations sur le trafic réseau pour Welchia.
        • 26 août 2003 : Mise à jour des informations contenues dans les instructions de suppression manuelle.
        • 20 août 2003 :
          • Ajout d'informations sur la disponibilité de signatures IDS de SCS.
          • Ajout d'informations sur la disponibilité de signatures IDS de NIS/NIS Pro IDS.
          • Mise à jour des informations sur les alias.
        • Ajout d'informations sur les mises à jour de Symantec ManHunt et Symantec Intruder Alert.

        Version anglaise de ce document

        Cliquez ici pour lire ce document en anglais

        Remarque : En raison du temps nécessaire à la traduction, il est possible que le contenu des documents traduits diffère du contenu original, si celui-ci a été mis à jour alors que la traduction était en cours. Le document en anglais contient toujours les dernières mises à jour.


        Article rédigé par : Frederic Perriot & Douglas Knowles