dllhost.exe, che cavolo è?

[Mory]

Sul mio portatile con W2000 mi sono collegato ad internet ed era lentissimo. guardo la connessione e vedo che su 1Mb ricevuto ne ho 2 spediti!!! Ho subito pensato a qlc che si è infilato nel mio pc e copiava qlc anche x' il disco frullava in continuazione anche con IE chiuso.
Ho disconnesso e controllato un po' in giro. Nel task manager c'era un tale dllhost.exe che nn mi piaceva x niente; ho provato a killarlo ma nn si riusciva. Praticamente con la connessione chiusa nn occupava CPU, ma appena mi connettevo,zac, 10-20% di CPU occupata.
Ho cercato sto file e l'ho cancellato ma dopo 5 sec ritornava dov'era prima
A quel punto visto che sono in Fat32 ho riavviato, sono entrato da DOS e l'ho cancellato. Adesso sto scrivendo senza prob e con HD zitto.
Qlc mi sa dire che cos'è sto dllhost.exe? Ho guardato nelle proprietà del file e risulta essere un file COM di windows. Nn è che x caso inviava info a Microsoft? Che cavolo spediva altrimenti in internet? Qui sul portatile a parte le foto delle vacanze nn ho nient'altro di interessante. Bha, mi pare tutto strano, aspetto delucidazioni.
CIAO

[Swos]

Virus Control
W32.Welchia.Worm

18-08-2003

Cos'e'
W32.Welchia.Worm è un worm che attacca i sistemi Windows XP, 2000 e IIS sfruttando varie vulnerabilita' gia' note:
la famigerata DCOM RPC, gia' usata dal precedente Blaster e da altri virus, descritta nel nel bollettino Microsoft MS03-026 e la vulnerabilita' WedDav (descritta nel bollettino Microsoft MS03-007) che 'apre' la porta TCP 80.

Noto anche come....
La Symantec lo ha definito Welchia, ma altre aziende antivirus lo hanno chiamato in altri modi..
W32/Nachi.worm [McAfee]
WORM_MSBLAST.D [Trend]
Lovsan.D [F-Secure]
W32/Nachi-A [Sophos]
Worm.Win32.Welchia [KAV]

Cosa fa di male
A parte tentare di scaricare la patch Microsoft per la DCOM RPC, e conseguentemente riavviare il pc (cosa non grave in se'..) ed il tentativo di rimuovere il worm Blaster, tenta di spedirsi ad altri pc infetti tramite le porte TCP 135(RPC DCOM) e TCP 80(WebDav), installa un server TFTP sulla macchina infetta e crea una instabilita' generale nel sistema che puo' portare al crash di W2000 (per quello non serviva un virus....heheheheeee).

Il virus si copia in \System32\Dllhost.exe
Crea due servizi (RpcTftpd e RpcPatch)
Termina il processo Msblast eventualmente creato dal precedente worm W32.Blaster.Worm ed elimina il file msblast.exe
Tramite varie opzioni di calcolo, seleziona un IP e tenta di infettare il pc corrispondente, inviando inizialmente una richiesta echo ICMP, o PING, per controllare se l'indirizzo IP e' attivo e quindi inviando dati alle porte TCP 135 (DCOM RPC) e TCP 80 (WebDav).
Crea una shell remota sull'host vulnerabile che si riconnettera' al computer aggressore che tramite il server TFTP trasmette al computer vittima i files Dllhost.exe e Svchost.exe.

Come difendersi
Installare tempestivamente tutte le patch di sicurezza rilasciate in base al proprio sistema operativo;
disabilitare tutti i servizi non strettamente necessari;
controllare tramite un firewall il traffico di rete, in modo da rendersi conto se c'e' traffico 'sporco'.
Se l'avete gia' preso
Symantec ha rilasciato un tool specifico per la rimozione di Welchia.

ecco la tool di rimozione, clicca QUI'


spero di esserti stato d'aiuto, ciao

[Mory]

Meno male che avevo appena reinstallato tutto e avevo messo il SP4! Praticamente alla prima connessione me lo sono beccato!!! Andiamo bene!!
Ma si va, reinstallo tutto di nuovo, ma prima mi procuro la patch per MS.Blast
Grazie delle info. Ciaooo

[Peiones]

Raga ho trovato un file dllhost.exe in /system32/ che devo fare?

Il file nn è in esecuzione.

Lo devo cancellare o è un file di sistema innocuo?

Ho winxp pro

Grazie