Nov črv namesti popravke napake RPC

Welchi vsebuje tri novosti glede na črva Lovsan.

1) Welchi "ubije" črva Lovsan.A
Če črv na računalniku zazna črva Lovsan.A, ga ustavi in pobriše.

2) Welchi namesti Microsoftove popravke napake
Po okužbi računalnika črv z Microsoftove spletne strani sname popraveknapake RPC in ga namesti na računalnik.

3) Welchi "umre"

Črv vsebuje funkcijo, ki po prvem januarju leta 2004 črva pobriše. Enostaven način odstranjevanja črva je, da se sistemski datum spremeni na 2004, ponovno požene računalnik in vrne datum nazaj.

"Izgleda, da gre tokrat za anti-virus-virus", komentira Mikko Hypponen, vodja protivirusnih raziskav podjetja F-Secure Corporation. "Že prej so obstajali podobni črvi, vendar še noben ni nameščal Microsoftovih lastnih popravkov. Na žalost Welchi vsebuje napake, ki lahko povzročajo dodatne težave."

Črv Welchi vsebuje skrita besedila:

I love my wife & baby :)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:)
~~ sorry zhongli~~~

VPRAŠANJA IN ODGOVORI O ČRVU WELCHI

V: Ali gre za varianto črva Lovsan?
O: Ne, oba sicer uporabljata isto napako RPC, vendar ne gre za varianto.

V: Kako se širi?
O: Črv sproži okužbo preko TCP porta 135.

V: Kako se širi preko spletnih strežnikov?
O: Črv se širi preko spletnih strežnikov IIS 5.0, ki nimajo nameščenih popravkov napake WebDAV.

V: Kateri operacijski sistemi so ranljivi?
O: Windows XP.

V: Ali je Microsoft napako RPC že popravil?
O: Da, obiščite naslov http://www.microsoft.com/security/incident/blast.asp

V: Ali je Microsoft napako WebDAV že popravil?
O: Da, obiščite naslov http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

V: Ali se črv lahko širi tudi preko požarnih zidov?
O: Da, če uporabnik naprimer prinese okužen računalnik v podjetje. Možno je tudi, da se črv v omrežje prenese preko spletnega strežnika.

V: Kakšna je vsebina sporočil, ki jih pošilja črv?
O: Ne gre za črva, ki bi pošiljal sporočila.

V: Ali se da črva odstraniti, če se sistemsko leto spremeni na 2004?
O: Da.

V: Ali je to nenevaren črv?
O: Ne.

V: Zakaj ne?
O: Obstaja več razlogov. Povzroča težave z združljivostjo. Lahko ustavi RPC servis. Generira velike količine internetnega prometa. Več o tej temi lahko preberete v dokumentu Dr. Vesselina Bontcheva z naslovom 'Are "Good" Computer Viruses Still a Bad Idea?', na naslovu http://www.virusbtn.com/old/OtherPapers/GoodVir/

V: Od kje izvira črv?
O: Najverjetneje iz Južne Koreje, Tajvana ali Kitajske.

Podroben opis črva je na naslovu: http://www.f-secure.si/welchi.html