Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

W32.Welchia : nouveau vers ... les Fix sont disponibles

1 réponse
Avatar
titine
En raison d'une augmentation de soumissions, Symantec la Réponse de Sécurité
a mis à niveau W32. Welchia. Ver à Catégorie 4, à partir de 6:00pm lundi, le
18 août 2003.

W32. Welchia. Le ver est un ver qui exploite des vulnérabilités multiples :


Exploite le DCOM RPC la vulnérabilité (décrit dans le Bulletin de Sécurité
de Microsoft MS03-026) l'utilisation TCP le port 135. Le ver spécifiquement
des Fenêtres de cibles XP des machines employant cela exploite.

Exploite la vulnérabilité WebDav (décrit dans le Bulletin de Sécurité de
Microsoft MS03-007) l'utilisation TCP le port 80. Le ver spécifiquement la
course(direction) de machines de cibles Microsoft IIS 5.0 utilisation cela
exploite.

Le ver essaye de télécharger le DCOM RPC la pièce du site de Web de Mise à
jour de Fenêtres de Microsoft, l'installer et réamorcer ensuite
l'ordinateur.

Le ver vérifie pour des machines actives pour infecter en envoyant une
demande d'écho d'ICMP, ou le TINTEMENT, qui aboutira au trafic accru ICMP.

Le ver essayera aussi d'enlever W32. Blaster. Ver.

Aussi Connu Comme : W32/Welchia.worm10240 [AhnLab], W32/Nachi.worm
[McAfee], WORM_MSBLAST.D [Tendance], Lovsan. D [F-sûr]

Type : Ver
Longueur d'Infection : 10,240 octets



Systèmes Affectés : Fenêtres 2000, Fenêtres XP
Systèmes Non Affectés : Linux, Macintosh, OS/2, UNIX
CVE Références : CAN-2003-0109, CAN-2003-0352

Supprime des fichiers : supprimez msblast.exe.
Instabilité de système de causes : des Fenêtres Vulnérables des machines de
2000 éprouveront l'instabilité de système en raison de l'accident(faillite)
de service de RPC.
Fixations de sécurité de compromis : Installe un serveur TFTP sur toutes les
machines infectées
Distribution

Ports : TCP 135 (RPC DCOM), TCP 80 (WebDav)


Quand W32. Welchia. Le ver est exécuté, il exécute les actions suivantes :


Copies lui-même :

%System%\Wins\Dllhost.exe

NOTEZ : %System le % est une variable. Le ver place le dossier de Système et
se copie à cet emplacement. Par défaut, c'est C:\Windows\System (le Windows
95 /98/Me), C:\Winnt\System32 (/2000 de Windows NT), ou C:\Windows\System32
(des Fenêtres XP).


Fait une copie de %System%\Dllcache\Tftpd.exe, comme %System
%\Wins\svchost.exe.

NOTEZ : Tftpd est un programme légitime, qui n'est pas malveillant et donc
Symantec des produits antivirus ne le détecteront pas.


Ajoute la sousclef :

RpcPatch

Et :

RpcTftpd

À la clef d'enregistrement :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


Crée les services suivants :

Nom : de Service RpcTftpd
Division de Rapports(connexions) de Réseau de Nom : d'Exposition de Service
Fichier binaire de Service : %System%\wins\svchost.exe

Ce service sera mis pour commencer manuellement.

Nom : de Service RpcPatch
Nom : d'Exposition de Service GAGNE Client
Fichier binaire de Service : %System%\wins\dllhost.exe

Ce service sera mis pour commencer automatiquement.


Finit le processus, Msblast et supprimer le fichier %System%\msblast.exe qui
est laissé tomber par le ver, W32. Blaster. Ver.


Le ver choisira la victime l'adresse IP de deux façons différentes. Il ou
bien emploiera B.0.0 un de la machine infectée IP d'A.B.C.D et comptera, ou
il construira une adresse aléatoire IP basée sur quelques adresses durement
codées. Après la sélection de l'adresse de début, il comptera par une gamme
de Classe C des réseaux de taille, par exemple, s'il commence à B.0.0 un ,
il comptera à au moins B.255.255 un .


Le ver enverra une demande d'écho d'ICMP, ou le TINTEMENT, vérifier si
l'adresse IP construite est une machine active sur le réseau.


Une fois que le ver identifie une machine comme étant actif sur le réseau,
il ou bien enverra des données au port TCP 135, qui exploite le DCOM RPC la
vulnérabilité, ou il enverra des données au port TCP 80 pour exploiter la
vulnérabilité WebDav.


Crée une coquille(obus) éloignée sur l'hôte vulnérable qui unira(connectera)
en arrière à l'ordinateur attaquant sur un port aléatoire TCP entre 666 et
765 pour recevoir des instructions.


Lance le serveur TFTP sur la machine attaquante, charge la machine de
victime de connecter et télécharger Dllhost.exe et Svchost.exe de la machine
attaquante. Si le fichier, existe %System%\dllcache\tftpd.exe , le ver ne
peut pas télécharger svchost.exe.


Vérifie la version de système d'exploitation de l'ordinateur, le
numéro(nombre) de Paquet de Service et le Lieu de Système et essaye
d'unir(connecter) à la Mise à jour de Fenêtres de Microsoft et télécharger
DCOM approprié RPC la pièce de vulnérabilité.


Une fois la mise à jour a été le téléchargement et avait exécuté, le ver
reprendra l'ordinateur pour que la pièce soit installée.


Vérifie la date de système de l'ordinateur. Si l'année est 2004, le ver
mettra hors de service et la proximité lui-même.


Alerte d'Intrus
Le 19 août 2003, Symantec Alerte d'Intrus sorti 3.6 W32_Welchia_Worm
Politique(police).

Symantec Chasse à l'homme
Symantec la technologie de Détection d'Anomalie de Protocole de Chasse à
l'homme détecte l'activité associée à cela exploite comme "Portsweep". Bien
que la Chasse à l'homme puisse détecter l'activité associée à cela exploite
avec la technologie de Détection d'Anomalie de Protocole, vous pouvez
employer "Microsoft DCOM RPC l'Amortisseur Déborde" la signature
douanière(personnalisée), sortie dans la Mise à jour de Sécurité 4,
précisément identifier l'exploité étant envoyé.
La mise à jour de Sécurité 7 a été sortie pour fournir des signatures
spécifiques à W32. Welchia. Ver, pour inclure la détection de plus
d'attributs de W32. Welchia. Ver.






Symantec la Réponse de Sécurité encourage tous les utilisateurs et des
administrateurs à adhérer à la sécurité suivante de base "les meilleures
pratiques" :

Éteignez-vous et enlevez des services inutiles. Par défaut, beaucoup de
systèmes d'exploitation installent les services auxiliaires qui ne sont pas
critiques, comme un serveur de FTP, telnet et un serveur du Web. Ces
services sont les avenues d'attaque. S'ils sont enlevés, des menaces
mélangées ont moins d'avenues d'attaque et vous avez des services de moins
pour maintenir(entretenir) par des mises à jour de pièce.
Si une menace mélangée exploite uns ou plus services de réseau, mettez hors
de service, ou bloquez l'accès à, ces services avant qu'une pièce ne soit
appliquée.
Tenez toujours vos niveaux de pièce à jour, particulièrement sur des
ordinateurs qui accueillent des services publics et sont accessibles par le
coupe-feu(firewall), comme HTTP, LE FTP, le courrier et des services de DNS.
Mettez en application une politique(police) de mot de passe. Des mots de
passe complexes font difficile de forcer des fichiers de mot de passe sur
des ordinateurs compromis. Cela aide à empêcher ou limiter des dégâts quand
un ordinateur est compromis(mis en péril).
Configurez votre serveur d'email pour bloquer ou enlever l'email qui
contient les attachements de fichier qui sont généralement employés pour
étendre des virus, comme .vbs.bat.exe.pif et des fichiers .scr.
Isolez des ordinateurs infectés rapidement pour empêcher plus loin
l'acceptation d'un compromis de votre organisation. Exécutez une analyse
légale et reconstituez(rétablissez) les ordinateurs employant les médias
crus.
Apprenez aux employés à ne pas ouvrir des attachements à moins qu'ils ne les
attendent. Aussi, n'exécutez pas de logiciel qui est téléchargé de
l'Internet à moins qu'il n'ait été parcouru pour des virus. Simplement la
visite d'un site compromis du Web peut causer l'infection si des certaines
vulnérabilités de navigateur ne sont pas rapiécées.


Les instructions suivantes appartiennent à tout le courant et des produits
récents Symantec antivirus, incluant l'Antivirus Symantec et des gammes de
produits Norton Antivirutes.


Mettez hors de service le Système Reconstituent(rétablissent) (des Fenêtres
XP).
Mettez à jour les définitions virales.
Reprenez l'ordinateur ou finissez le processus de Ver.
Courez un plein système parcourt et supprime tous les fichiers détectés
comme W32. Welchia. Ver.
Supprimez le Svchost.exe fichier.

Pour des détails sur chacun de ces pas, lisez les instructions suivantes.

1. Le système de Mise hors de service Reconstitue(rétablit) (des Fenêtres
XP)
Si vous dirigez des Fenêtres XP, nous recommandons que vous vous éteigniez
temporairement le Système Reconstitue(rétablit). Les fenêtres XP emploient
cette particularité, que l'on permet par défaut, reconstituer(rétablir) les
fichiers sur votre ordinateur dans le cas où ils deviennent endommagés. Si
un virus, le ver, ou Troyen infectent un ordinateur, le Système
Reconstitue(rétablit) peut soutenir le virus, le ver, ou Troyen sur
l'ordinateur.

Les fenêtres empêchent des programmes extérieurs, incluant des programmes
antivirus, de modifier le Système Reconstituent(rétablissent). Donc, des
programmes antivirus ou des outils ne peuvent pas enlever des menaces dans
le Système Reconstituent(rétablissent) le dossier. En conséquence, le
Système Reconstitue(rétablit) a le potentiel de reconstituer(rétablir) un
fichier infecté sur votre ordinateur, même après que vous avez nettoyé les
fichiers infectés de tous les emplacements autres.

Aussi, un feuilletage viral peut détecter une menace dans le Système
Reconstituent(rétablissent) le dossier bien que vous ayez enlevé la menace.

Pour des instructions sur comment éteindre le Système
Reconstituent(rétablissent), lisent "Comment éteindre ou allumer des
Fenêtres XP le Système Reconstitue(rétablit)."
Pour l'information complémentaire et une alternative à la mise hors de
service de Fenêtres Moi le Système Reconstitue(rétablit), voit l'article de
Base de Connaissance de Microsoft, "des Outils Antivirus Ne peuvent pas
Nettoyer des Fichiers Infectés dans le Dossier _Restore," l'Article ID :
Q263455.

2. Mise à jour des définitions virales
Symantec la Réponse de Sécurité évalue entièrement toutes les définitions
virales pour l'assurance qualité avant qu'ils ne soient postés à nos
serveurs. Il y a deux façons d'obtenir les définitions virales les plus
récentes :

Course(direction) LiveUpdate, qui est la façon la plus facile d'obtenir des
définitions virales : Ces définitions virales sont postées aux serveurs
LiveUpdate une fois chaque semaine (d'habitude mercredis), à moins qu'il n'y
ait une éruption principale virale. Pour déterminer si les définitions pour
cette menace sont disponibles par LiveUpdate, référez-vous aux Définitions
Virales (LiveUpdate).
Téléchargement des définitions employant le Logiciel de mise à jour
Intelligent : les définitions de virus de Logiciel de mise à jour
Intelligentes sont postées sur des jours ouvrables américains (lundi par
vendredi). Vous devez télécharger les définitions du site de Web de Réponse
de Sécurité Symantec et les installer manuellement . Pour déterminer si les
définitions pour cette menace sont disponibles par le Logiciel de mise à
jour Intelligent, référez-vous aux Définitions Virales (le Logiciel de mise
à jour Intelligent).

Les définitions de virus de Logiciel de mise à jour Intelligentes sont
disponibles : Lisez "Comment mettre à jour des fichiers de définition viraux
employant le Logiciel de mise à jour Intelligent" pour des instructions
détaillées.

3. Reprise de l'ordinateur dans mode Sûr ou fin du processus Troyen
Windows 95 /98/Me
Reprenez l'ordinateur dans le mode Sûr. Toutes les Fenêtres des systèmes 32
bits d'exploitation, à part le Windows NT, peuvent être reprises dans le
mode Sûr. Pour des instructions sur comment faire cela, lisez le document,
"Comment commencer l'ordinateur dans le Mode Sûr."

Windows NT /2000/XP
Finir le processus Troyen :
Appuyez(pressez) Ctrl+Alt+Delete une fois.
Manager de Tâche de Clic.
Cliquez sur l'étiquette de Processus.
Double cliquez sur l'en-tête de colonne de Nom d'Image pour alphabétiquement
trier les processus.
Parcourez la liste et cherchez Dllhost.exe.
Si vous trouvez le fichier, y cliquez et cliquez ensuite sur la Fin le
Processus.
Quittez le Manager de Tâche.

4. Balayage et pour suppression des fichiers infectés
Commencez votre programme Symantec antivirus et assurez-vous qu'il est
configuré pour parcourir tous les fichiers.
Pour produits de consommateur Norton Antivirus : Lisez le document, "Comment
configurer l'Antivirus Norton pour parcourir tous les fichiers."
Pour produits Symantec Antivirus D'entreprise : Lisez le document, "Comment
vérifier qu'un produit Symantec D'entreprise antivirus est mis pour
parcourir tous les fichiers."
Dirigez un plein feuilletage de système.
Si n'importe quels fichiers sont détectés comme infecté de W32. Welchia. Le
ver, le clic Supprime.

5. Suppression de la valeur de l'enregistrement

AVERTISSEMENT : Symantec recommande fortement que vous y souteniez
l'enregistrement avant la fabrication de n'importe quels changements. Des
changements incorrects à l'enregistrement peuvent aboutir à la perte de
données permanente ou des fichiers corrompus. Modifiez les clefs indiquées
seulement. Lisez le document, "Comment faire une sauvegarde de la base de
registres de Windows," pour des instructions.

Le début de Clic et clique ensuite Dirigé. (La boîte de dialogue de Course
apparaît.)
Type regedit

Alors clic BIEN. (Le Rédacteur d'Enregistrement s'ouvre.)


Naviguez à la clef :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


Supprimez les sousclefs :

RpcPatch

Et :

RpcTftpd

Quittez le Rédacteur d'Enregistrement.

6. Suppression du Svchost.exe fichier
Naviguez au System %\Wins le dossier et supprimez le Svchost.exe fichier.

1 réponse

Avatar
Chambord

En raison d'une augmentation de soumissions, Symantec la Réponse de Sécurité
a mis à niveau W32. Welchia. Ver à Catégorie 4, à partir de 6:00pm lundi, le
18 août 2003.



Le meme mis à jour le :Dernière mise à jour le : 21/08/2003

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/fr-w32.welchia.worm.html

Un lien ,juste un p'tit ,aurait suffit au lieu d'un copier coller dont
on ignore la source et encombrant.
Maudit soit son lien :-)