Welchia nutzt die gleiche Sicherheitslücke wie Lovesan
Welchia dringt über dieselbe Schwachstelle (DCOM RPC) wie Lovesan in Computer ein (http://www.viruslist.com/...). Doch Welchia benutzt zudem noch die Sicherheitslücke WebDAV (http://www.microsoft.com/...) im IIS 5.0 (Komponente des Windows-Web-Servers). Der Wurm sucht nach aktiven Computern und greift diese über die Ports 135 (DCOM-Schwachstelle) und 80 (WebDAV-Schwachstelle) an. Wenn Opfer-Computer erst einmal identifiziert worden sind, lädt der Wurm seine Wirtsdatei herunter und registriert sich als DLLHOST.EXE im WINS-Subverzeichnis des Windows-Systemverzeichnisses (%System%\WINS\Dllhost.exe). Dabei erstellt er einen automatischen Service WINS Client.
Nach der Installation beginnt der Wurm mit der Entfernung von Lovesan. Welchia durchsucht den Computer nach MSBLAST.EXE, beendet das Programm und löscht die Datei. Danach durchsucht Welchia das Windows-Systemverzeichnis und sucht nach installierten Patches. Falls der Patch für die DCOM RPC-Schwachstelle nicht installiert worden ist, beginnt Welchia den Download-Vorgang. Wenn der Patch erfolgreich heruntergeladen und ausgeführt worden ist, startet der Wurm den Computer neu, um die Installation abzuschließen.
Weltweite Verbreitung
Welchia hat sich bereits über die ganze Welt verbreitet und sollte die Infektionen durch Lovesan innerhalb einer Woche deutlich verringern. Doch es muss unbedingt darauf hingewiesen werden, dass es keine „guten“ Viren gibt. „Sogar anscheinend nützliche und harmlose Viren können niemals Antiviren-Software ersetzen“, meint Denis Zenkin, Pressesprecher von Kaspersky Labs. „Das passive Verhalten vieler User während der Lovesan-Epidemie verursachte Überlastungen des Internets und bewog anscheinend jemanden, Welchia zu entwickeln. Es wäre eine Schande, wenn die Inaktivität von Usern das Internet in ein Schlachtfeld verschiedener Viren verwandeln würde.“
Schutzverfahren gegen Welchia sind der Antiviren-Datenbank von Kaspersky Anti-Virus bereits hinzugefügt worden. Detaillierte Informationen über diese Malware sind zudem in der Kaspersky Virus Encyclopedia zu finden.
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev St
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
E-Mail: denis.zenkin@kaspersky.com
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
E-Mail: info@commcreativ.de
Kaspersky Labs
Andreas Lamm
Spretistraße 7
85057 Ingolstadt
Tel.: +49 / 700 / 55 0 10 000
Fax: +49 / 700 / 55 0 10 001
E-Mail: Andreas.Lamm@de.kaspersky.com