Win32.Worm.Welchia.A

In ultima vreme s-au constatat atacuri foarte virulente ale unor amenintari informatice extrem de periculoase. Virusul de astazi este unul dintre cei care sunt raspunzatori de incetinirea traficului

In ultima vreme s-au constatat atacuri foarte virulente ale unor amenintari informatice extrem de periculoase. Virusul de astazi este unul dintre cei care sunt raspunzatori de incetinirea traficului pe Internet. Chiar daca el (teoretic) este un virus "bun", acesta prin secventa sa de multiplicare aduce neplaceri evidente. Desi nu este o noutate (istoria industriei antivirus continand cazuri asemanatoare), acest vierme de Internet vine ca raspuns la antipaticul MsBlast.A/B/C care se folosea de celebra vulnerabilitate Windows DCOM RPC. In mare, Welchia face doua lucruri la instalarea pe un calculator: incearca sa detecteze MsBlast si sa il stearga si, de asemenea, surprinzator sau nu, incearca sa descarce patch-ul recomandat de Microsoft pentru aceasta bresa pentru a-l instala pe sistemele infectate, atunci cand proprietarul acestora nu a facut acest lucru. Mai mult chiar, se pare ca acest virus isi proclama autodezactivarea, pentru anul 2004, introducand mesajul: I love my wife & baby:), Welcome Chian, Notice: 2004 will remove myself:) Chiar daca Welchia il loveste aparent pe MsBlast, o face doar utilizand aceleasi mecanisme caracteristice codurilor virale: nu foloseste una, ci chiar doua brese de securitate: DCOM RPC pentru sistemele Windows XP si WebDov pentru sistemele care includ serviciul IIS. Daca reuseste sa se instaleze, reporneste calculatorul fara avertizare si se raspandeste ca orice virus de Internet, incetinind traficul si hranindu-se cu resursele calculatorului infectat pentru a deveni mai rapid. Dupa infectarea de la distanta a unui calculator, deschide aleatoriu un port TCP intre 666 si 765, pentru a trimite comenzi catre calculatorul la distanta. Foloseste protocolul de transfer de fisiere TFTP pentru a copia corpul virusului: dllhost.exe si serverul de TFTP: tftpd.exe, care va fi redenumit in svchost.exe dupa copierea in %system32%\wins. Creeaza doua servicii Network Connections Sharing cu calea catre excutabil: %system32%\wins\svchost.exe si WINS Client cu calea catre executabil: %system32%\wins\dllhost.exe, care sunt setate sa ruleze automat, astfel incat virusul sa ramana activ chiar daca nici un utilizator nu este logat pe calculatorul respectiv. Valul de virusi care au aparut in ultimul timp au reusit sa creeze panica si multe neplaceri utilizatorilor de calculatoare. Specialistii BitDefender recomanda tuturor sa ramana calmi si sa si actualizeze solutiile antivirus pentru a evita pierderile de date. Nota: Virusii din aceasta rubrica pot fi eliminati cu antivirusul BitDefender, produs de compania Softwin.