Info dalla pagina:
http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-w32.welchia.worm.html
utilizza lo strumento di rimozione di W32.Welchia.Worm
Symantec Security Response ha sviluppato uno
strumento per ripulire le infezioni di W32.Welchia.Worm. Si tratta del metodo più 
semplice a disposizione ed è quello da provare per primo.
Intruder Alert
http://www.symantec.com/avcenter/FixWelch.exe


Quando W32.Welchia.Worm viene eseguito, svolge le seguenti operazioni:
1. Copia sé stesso in:
%System%\Wins\Dllhost.exe
Nota: %System% è una variabile. Il worm individua la cartella System e copia 
sé stesso in tale posizione. Per impostazione predefinita, questa è 
C:\Winnt\System32
(Windows 2000) o C:\Windows\System32 (Windows XP)
2. Crea una copia di %System%\Dllcache\Tftpd.exe come 
%System%\Wins\svchost.exe.

Nota: Tftpd è un programma legittimo, che non è nocivo, e quindi i prodotti 
antivirus di Symantec non lo rileveranno.
3. Aggiunge le sottochiavi:
RpcPatch
e:
RpcTftpd
alla chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
4. Crea i seguenti servizi:
Nome del servizio: RpcTftpd
Nome visualizzato del servizio: Network Connections Sharing
File binario del servizio: %System%\wins\svchost.exe
Il servizio verrà impostato per l'avvio manuale.
Nome del servizio: RpcPatch
Nome visualizzato del servizio: WINS Client
File binario del servizio: %System%\wins\dllhost.exe

Il servizio verrà impostato per l'avvio automatico.
5. Termina il processo Msblast, ed elimina il file %System%\msblast.exe che 
è rilasciato dal worm W32.Blaster.Worm.
6. Il worm selezionerà l'indirizzo IP della vittima in due modi diversi. 
Utilizzerà A.B.0.0 dal numero A.B.C.D dell'indirizzo IP del computer infetto 
e incrementerà il conteggio, oppure costruirà un indirizzo IP casuale basato 
su alcuni indirizzi codificati internamente.

Dopo avere selezionato l'indirizzo iniziale, incrementerà il conteggio 
cercando in un intervallo di reti di Classe C, ad esempio, se inizia da 
A.B.0.0,
incrementerà il conteggio fino a A.B.255.255.
7. Il worm invierà un echo ICMP, o PING, per controllare se l'indirizzo IP 
costruito è un computer attivo nella rete.
8. Quando identifica un computer attivo nella rete, invierà dei dati sulla 
porta TCP 135, sfruttando la vulnerabilità DCOM RPC, o invierà dei dati alla
porta TCP 80 per sfruttare la vulnerabilità WebDav.
9. Crea una shell remota sull'host vulnerabile che si riconnetterà al 
computer aggressore su una porta TCP casuale tra 666 e 765 per ricevere 
istruzioni.
Nota: nella stragrande maggioranza dei casi, la porta è 707 a causa del modo 
in cui il modello di threading del worm interagisce con l'implementazione 
del .dll di runtime C di Windows.
10. Esegue il server TFTP sul computer aggressore, indica al computer 
vittima di connettersi e scaricare Dllhost.exe e Svchost.exe dal computer 
aggressore.
Se il file, %System%\dllcache\tftpd.exe esiste, il worm potrebbe non 
scaricare svchost.exe.
11. Controlla la versione del sistema operativo, il numero di Service Pack e 
le impostazioni internazionali del computer e tenta di connettersi a 
Microsoft
Windows Update e scaricare la patch appropriata per la vulnerabilità DCOM 
RPC.
12. Dopo avere scaricato ed eseguito l'aggiornamento, il worm riavvierà il 
computer in modo che la patch venga installata.
13. Controlla la data di sistema del computer. Se l'anno è 2004, il worm si 
disattiverà e si rimuoverà nel modo seguente:
elimina il file %System%\Wins\Dllhost.exe
elimina i servizi, RpcPatch e RpcTftpd, e rimuove le chiavi di registro 
associate:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd

Il worm non elimina il file %System%\Wins\Svchost.exe, che è un server tftp 
non nocivo.

Note:
Il worm attiva la propria routine di rimozione solo se è stato avviato 
nell'anno 2004. Se il worm è stato in esecuzione fin dal 2003 non si 
autoeliminerà
dopo il 1 gennaio 2004 a meno che il computer o il worm non sia riavviato 
manualmente.
Lo strumento di rimozione di W32.Welchia.Worm funzionerà ancora normalmente 
nel 2004.

Per tornare all'indice, premi alt piu' freccia sinistra.