Welchia est un second virus ciblant les ordinateurs
vulnérables à la faille RPC de Microsoft. Si une
machine connectée à Internet n'est pas à
jour dans ses correctifs, Welchia l'infecte automatiquement
à l'insu de l'utilisateur puis scanne le réseau
à la recherche de nouvelles machines vulnérables.
Il est par ailleurs programmé pour supprimer le virus
Blaster.A si ce dernier se trouve
sur la machine infectée. Le nom du fichier infectant
est DLLHOST.EXE, mais ne doit pas être confondu avec un
fichier système portant le même nom.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
de Windows NT, 2000, XP et 2003 doivent également
mettre à jour leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille RPC exploitée par
le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixWelch pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows NT
Windows 2000
Windows XP
ALIAS :
Win32.Nachi Worm (CA)
W32/Lovsan.D@mm (F-Secure)
W32/Nachi.worm (Mc Afee)
W32.Welchia.Worm (Symantec)
WORM_MSBLAST.D (Trend Micro)
TAILLE :
10.240 octets
DECOUVERTE :
18/08/2003
DESCRIPTION DETAILLEE :
Welchia est un virus qui se propage via le réseau.
Si une machine connectée à Internet n'est pas
à jour dans ses correctifs, Welchia l'infecte via le
port TCP 135 en utilisant la faille MS RPC : il provoque le
téléchargement des fichiers DLLHOST.EXE et SVCHOST.EXE
dans le répertoire C:\ Windows\ System32\ Wins\, puis
leur exécution à distance à l'insu de
l'utilisateur. Le virus exploite également la faille
WebDAV des serveurs Microsoft IIS.
Attention : le fichier viral DLLHOST.EXE ne doit pas être
confondu avec un fichier système de 5 Ko portant le
même nom se trouvant dans le répertoire C:\Windows\System32\
et qui ne doit pas être supprimé. De même,
le fichier SVCHOST.EXE installé par le virus porte
le nom d'un autre fichier système mais est en réalité
un serveur TFTP (TFTPD.EXE).
Une fois l'ordinateur infecté, Welchia scanne le réseau
à la recherche de nouvelles machines vulnérables,
d'où un fort trafic ICMP et un encombrement des réseaux
locaux. Le virus se comporte comme un "virus antivirus"
: il est programmé pour supprimer le virus Lovsan/Blaster.A
(msblast.exe) si ce dernier est présent sur la machine
contaminée, sans toutefois nettoyer correctement la
base de registres, ainsi que pour télécharger
et installer automatiquement le correctif RPC pour les versions
anglaises, chinoises et coréennes de Windows 2000 et
XP. Lorsque l'horloge de Windows atteint ou dépasse
le 1er janvier 2004, Welchia se supprime automatiquement du
système, ce qui constitue une méthode alternative
pour éliminer ce virus.
Les utilisateurs ayant appliqué le correctif comblant
la faille RPC ne sont pas concernés par cette alerte.
Ceux qui ne l'ont pas encore fait doivent mettre à
jour d'urgence leur système sous Windows NT, 2000,
XP et 2003 afin de combler la faille exploitée par
le virus pour s'exécuter automatiquement.
INFORMATIONS COMPLEMENTAIRES :
-> Vulnérabilité
critique dans Windows 2000, XP, NT 4.0 et Server 2003
(17/07/03)
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|