Welchia.B est virus qui cible les ordinateurs
vulnérables à la faille RPC de Microsoft. Si une
machine connectée à Internet n'est pas à
jour dans ses correctifs, Welchia.B l'infecte à l'insu
de l'utilisateur puis scanne le réseau à la recherche
de nouvelles machines vulnérables. Il est par ailleurs
programmé pour supprimer le virus Mydoom.A/B
si ce dernier se trouve sur la machine infectée. Le nom
du fichier infectant est SVCHOT.EXE, mais il ne doit pas être
confondu avec un fichier système portant le même
nom.
|
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le service
en ligne WindowsUpdate
(en français) afin de corriger les failles du
système exploitées par le virus pour s'exécuter
automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixWelch pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
ALIAS :
Win32.Nachi.B (CA)
Welchi.B (F-Secure)
W32/Nachi.worm.b (Mc Afee)
W32.Welchia.B.Worm (Symantec)
WORM_NACHI.B (Trend Micro)
TAILLE :
12.800 octets
DECOUVERTE :
11/02/2004
DESCRIPTION DETAILLEE :
Welchia.B est une variante du virus Welchia.A
(= Nachi.A). Si une machine
connectée à Internet n'est pas à jour
dans ses correctifs, Welchia.B l'infecte via le port TCP 135
en utilisant notamment la faille
RPC de Microsoft : il provoque le téléchargement
d'un fichier SVCHOST.EXE dans le répertoire C:\ Windows\
System32\ drivers\, puis son exécution à distance
à l'insu de l'utilisateur. Le virus peut également
exploiter la faille
WebDAV des serveurs Microsoft IIS, ainsi que les failles
Service Workstation. et
Service Locator.
15/02/04 : une variante mineure
Welchia.C (= Nachi.C) a été identifiée.
Il n'y a pas de différence fonctionnelle avec Welchia.B.
Un utilitaire de désinfection gratuit est néanmoins
disponible contre Welchia.C.
INFORMATIONS COMPLEMENTAIRES :
-> Vulnérabilité
critique dans Windows 2000, XP, NT 4.0 et Server 2003
(17/07/03)
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|
