PDA

View Full Version : W32 Welchia.Worm

Aketaton
19-08-2003, 09:23
Ma è una bufala???


www.symantec.com

Il worm in oggetto rimuove il w32Blaster installa la patch Microsoft e riavvia la macchina!!!

L'ha fatto Bill Gates o cosa???
amvinfe
19-08-2003, 09:41
Originariamente inviato da Aketaton
Ma è una bufala???


www.symantec.com

Il worm in oggetto rimuove il w32Blaster installa la patch Microsoft e riavvia la macchina!!!

L'ha fatto Bill Gates o cosa???
Non è una bufala, il worm in questione termina Blaster, questo per avere il pieno controllo della macchina. Le procedure d'infezione sono simili, ma invece d'aprire la porta 4444 in TCP, apre la 707 sempre in TCP. Il worm cessa la sua infezione nel Gennaio 2004.
Sostanzialmente sono queste le differenze.


Marco(amvinfe)
Aketaton
19-08-2003, 09:51
Originariamente inviato da amvinfe
Non è una bufala, il worm in questione termina Blaster, questo per avere il pieno controllo della macchina. Le procedure d'infezione sono simili, ma invece d'aprire la porta 4444 in TCP, apre la 707 sempre in TCP. Il worm cessa la sua infezione nel Gennaio 2004.
Sostanzialmente sono queste le differenze.


Marco(amvinfe)

Ma perchè installa la patch MS???
mello
19-08-2003, 09:55
pazzesco... senza parole.......

:muro: :muro: :muro:
amvinfe
19-08-2003, 13:14
Originariamente inviato da Aketaton
Ma perchè installa la patch MS???
Si vede che chi l'ha programmato è un'anima pia :D
Controlla nei registri le eventuali patch installate e nel caso scarica ed installa se non presenti solo quelle in lingua inglese, cinese e coreana.
Curioso anche il testo .txt che l'utente infettato comunque non riesce a visualizzare.

"Io amo mia moglie e mio filglio. Benvenuto Chian. Nel 2004 mi rimuoverò da solo. Scusate zhongli. Vittorie."

Tutto in inglese ovviamente.


Marco(amvinfe)
eraser
19-08-2003, 13:22
Name: Win32.Worm.Welchia.A

Symptoms:
The presence of any of the registry keys or files mentioned in the technical description

Technical description:
Presence of dllhost.exe and svchost.exe files in %system32%\wins directory (e.g. C:\Windows\System32\Wins\DllHost.exe).

It uses the Microsoft DCOM RPC vulnerability described in MS03-026 security bulletin to infect new computers.

The worm seems to work correctly only on Windows XP systems, on other systems (such as Windows 2000) it only restarts the computer.

When run it looks for Win32.Msblast.A worm file (msblast.exe) and tries to remove it from the computer. It also attempts to download the patch for the specified vulnerability and to install it.


;) fortuna che qualche anima pia si salva ;) :D