"Welchia": le virus antiviral

19 août 2003
Actualités Virus

Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé la découverte du ver "Welchia". Ce dernier recherche les ordinateurs infectés par "Lovesan" (ou "Blaster"), les traite et installe le patch correctif pour Windows. L'assistance technique de la société travaillant 24 heures sur 24, a déjà enregistré de nombreux incidents provoqués par ce programme.

"Welchia" appartient à la catégorie des virus humanitaires. Ils attaquent l'ordinateur, pénètrent dans le système, mais ne causent aucun dommage. Au contraire, ils éliminent les autres programmes malfaisants et immunisent l'ordinateur. Le plus célèbre des virus de ce type a été découvert en septembre 2001 : à l'époque, le ver "CodeBlue" cherchait sur Internet les ordinateurs infectés par le ver"CodeRed" pour les traiter.

"Welchia" utilise, comme"Lovesan", une faille dans le système de sécurité de Windows, pour contaminer les ordinateurs. Cependant, à la différence de ce dernier, "Welchia" attaque non seulement par la faille dans le service DCOM RPC, mais aussi par la faille WebDAV du système IIS 5.0 (logiciel spécial pour la gestion des serveurs Web). Pour contaminer les ordinateurs, le ver, une fois sa victime trouvée, l'attaque par les ports 135 (faille dans DCOM RPC) et 80 (faille WebDAV). Il transmet le fichier porteur, l'enregistre dans le sous-dossier WINS de Windows, sous le nom de DLLHOST.EXE puis crée le service "WINS Client".

Après cela "Welchia" commence la procédure de neutralisation de "Lovesan". Pour cela il contrôle la présence du processus nommé "MSBLAST.EXE" en mémoire, termine sa tâche et supprime le fichier éponyme sur le disque dur. Ensuite "Welchia" vérifie dans la base du registre les mises à jour ayant été effectuées. Dans le cas où la mise à jour corrigeant la vulnérabilité dans DCOM RPC n'a pas été téléchargée, il s'occupe de la procédure en se connectant au site de Microsoft, en la téléchargeant, en l'installant puis en redémarrant l'ordinateur. Enfin, "Welchia" est doté d'un mécanisme d'autodestruction : si l'année en cours, sur le système, est égale à 2004, le ver s'auto supprime.

D'ores et déjà, la diffusion de "Welchia" est mondiale. On peut donc penser que, dans le courant de la semaine, son ampleur aura égalé celle de "Lovesan". ' Il existe un proverbe disant : ' Le mal par le mal. ' Le virus est le moyen le plus efficace pour lutter contre les autres virus. Lors de la dernière épidémie, plusieurs utilisateurs ont manifesté leur indifférence totale envers la protection des ordinateurs. C'est pourquoi Internet a, de nouveau, été menacé de paralysie. Il serait regrettable que, dans l'avenir, Internet se transforme en champs de bataille où les virus infecteraient les ordinateurs avec l'accord tacite d'utilisateurs indifférents. ' a déclaré Denis Zenkin, chef du service d'information de Kaspersky Labs.

La protection contre "Welchia" a été ajoutée à la base de données de Kaspersky Anti-Virus. Une description plus détaillée de "Welchia" est disponible dans "l'Encyclopédie Antivirale de Kaspersky Labs".

  PARTAGER