Welchia - Welchia
Welchia , également connu sous le nom de « ver Nachi », est un ver informatique qui exploite une vulnérabilité du service d' appel de procédure à distance (RPC) de Microsoft similaire au ver Blaster . Cependant, contrairement à Blaster, il recherche d'abord et supprime Blaster s'il existe, puis essaie de télécharger et d'installer des correctifs de sécurité de Microsoft qui empêcheraient une infection ultérieure par Blaster, il est donc classé comme un ver utile . Welchia a réussi à supprimer Blaster, mais Microsoft a affirmé qu'il ne réussissait pas toujours à appliquer son correctif de sécurité.
Ce ver a infecté les systèmes en exploitant les vulnérabilités du code système de Microsoft Windows ( TFTPD.EXE et TCP sur les ports 666–765, et un débordement de tampon du RPC sur le port 135). Sa méthode d'infection consiste à créer un shell distant et à demander au système de télécharger le ver à l'aide de TFTP.EXE. Plus précisément, le ver Welchia ciblait les machines exécutant Windows XP. Le ver utilisait ICMP et, dans certains cas, inondait les réseaux avec suffisamment de trafic ICMP pour causer des problèmes.
Une fois sur le système, le ver corrige la vulnérabilité utilisée pour accéder (sécurisant ainsi le système contre d'autres tentatives d'exploitation de la même méthode d'intrusion) et exécute sa charge utile, une série de correctifs Microsoft. Il tente ensuite de supprimer le ver Blaster en supprimant MSBLAST.EXE. S'il est toujours dans le système, le ver est programmé pour s'auto-supprimer le 1er janvier 2004 ou après 120 jours de traitement, selon la première éventualité.
En septembre 2003, le ver a été découvert sur le réseau informatique du département d'État américain, ce qui les a obligés à fermer leur réseau pendant 9 heures pour y remédier.
Voir également
- Ver utile
- Blaster (ver informatique)
- Sasser (ver informatique)
- Chronologie des virus et vers informatiques notables