Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem neuen Internet-Wurm Welchia. Welchia sucht nach Computern, die von Lovesan (alias Blaster) infiziert worden sind, säubert diese und installiert den Patch von Windows. Es sind bereits zahlreiche Meldungen von Infizierungen durch diese Malware bei Kaspersky Labs eingegangen.
Welchia gehört zu einer Familie von Viren, welche im Kampf um die Kontrolle über das jeweilige System andere Malware attackieren. Der berühmteste Wurm dieser Familie, CodeBlue, tauchte im September 2001 auf. Er durchsuchte das Internet nach Computern, die vom Wurm CodeRed infiziert worden waren und säuberte diese.
Welchia dringt über dieselbe Schwachstelle (DCOM RPC) in die Computer ein, welche auch Lovesan benutzte. Doch Welchia benutzt zudem noch die Schwachstelle WebDAV im IIS 5.0 (eine Komponente des Windows-Web-Servers). Der Wurm sucht nach aktiven Computern und greift diese über die Ports 135 (DCOM-Schwachstelle) und 80 (WebDAV-Schwachstelle) an. Wenn Opfer-Computer erst einmal identifiziert worden sind, lädt der Wurm seine Wirtsdatei herunter und registriert sich als DLLHOST.EXE im WINS-Subverzeichnis im Windows-Systemverzeichnis (%System%\WINS\Dllhost.exe). Dabei erstellt er einen automatischen Service; WINS Client.
Nach der Installation beginnt der Wurm mit der Entfernung von Lovesan. Welchia durchsucht den Computer nach MSBLAST.EXE, beendet den Prozess und löscht die Datei. Danach durchsucht Welchia das Windows-Systemverzeichnis und sucht nach installierten Patches. Falls der Patch für die DCOM RPC-Schwachstelle nicht installiert worden ist, initiiert Welchia den Download-Vorgang. Wenn der Patch erfolgreich heruntergeladen und ausgeführt worden ist, startet der Wurm den Computer neu, um die Installation abzuschließen.
Welchia hat sich bereits über die ganze Welt verbreitet und sollte die Infektionen durch Lovesan innerhalb einer Woche deutlich verringern. Doch es muss unbedingt darauf hingewiesen werden, dass es keine 'guten' Viren gibt. 'Sogar anscheinend nützliche und harmlose Viren können niemals Antiviren-Software ersetzen', meint Denis Zenkin, Pressesprecher von Kaspersky Labs. 'Die Passivität von vielen Usern während der Lovesan-Epidemie verursachte Überlastungen des Internets und bewog anscheinend jemanden, Welchia zu entwickeln. Es wäre eine Schande, wenn eine solche Passivität von Usern, das Internet in ein Schlachtfeld von verschiedenen Viren verwandeln würde.'
Maßnahmen gegen Welchia sind bereits der Kaspersky® Antiviren-Datenbank hinzugefügt worden. Mehr Informationen über Welchia finden Sie in der Virus Encyclopedia.
(China)
(Japan)
(Korea)
