Controlla la velocità della tua connessione

VAI AL CONTENUTO DELLA PAGINA | VAI AL MENU PRINCIPALE

ONLUS
via Borgognona, 38 - 00187 Roma Tel 06.69.98.81 - Fax 06.67.86.815 - numero verde 800 682682 - Part. I.V.A. 00989551007

U I C - Osservatorio Siti Internet - OSI -

VAI AL MENU PRINCIPALE

Eliminare il virus "svchost.exe" e altri tipi di virus.

Info dalla pagina: http://www.symantec.com/region/it/techsupp/avcenter/venc/data/it-w32.welchia.worm.html.

utilizza lo strumento di rimozione di W32.Welchia.Worm Symantec Security Response ha sviluppato uno strumento per ripulire le infezioni di W32.Welchia.Worm.

Si tratta del metodo più semplice a disposizione ed è quello da provare per primo.

Intruder Alert

http://www.symantec.com/avcenter/FixWelch.exe.

Quando W32.Welchia.Worm viene eseguito, svolge le seguenti operazioni:

  1. Copia sé stesso in:

%System%\Wins\Dllhost.exe Nota:

%System% è una variabile.

Il worm individua la cartella System e copia sé stesso in tale posizione.

Per impostazione predefinita, questa è C:\Winnt\System32 (Windows 2000) o`` C:WindowsSystem32`` (Windows XP)

  1. Crea una copia di`` %System%DllcacheTftpd.exe`` come %System%\Wins\svchost.exe. Nota:

Tftpd è un programma legittimo, che non è nocivo, e quindi i prodotti antivirus di Symantec non lo rileveranno.

  1. Aggiunge le sottochiavi:

RpcPatch e:

RpcTftpd alla chiave di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 4. Crea i seguenti servizi:

Nome del servizio: RpcTftpd Nome visualizzato del servizio: Network Connections Sharing File binario del servizio:

%System%\wins\svchost.exe Il servizio verrà impostato per l'avvio manuale.

Nome del servizio: RpcPatch Nome visualizzato del servizio: WINS Client File binario del servizio:

%System%\wins\dllhost.exe Il servizio verrà impostato per l'avvio automatico.

  1. Termina il processo Msblast, ed elimina il file `` %System%msblast.exe`` che è rilasciato dal worm W32.Blaster.Worm.
  2. Il worm selezionerà l'indirizzo IP della vittima in due modi diversi.

Utilizzerà A.B.0.0 dal numero A.B.C.D dell'indirizzo IP del computer infetto e incrementerà il conteggio, oppure costruirà un indirizzo IP casuale basato su alcuni indirizzi codificati internamente.

Dopo avere selezionato l'indirizzo iniziale, incrementerà il conteggio cercando in un intervallo di reti di Classe C, ad esempio, se inizia da A.B.0.0, incrementerà il conteggio fino a A.B.255.255.

  1. Il worm invierà un echo ICMP, o PING, per controllare se l'indirizzo IP costruito è un computer attivo nella rete.
  2. Quando identifica un computer attivo nella rete, invierà dei dati sulla porta TCP 135, sfruttando la vulnerabilità DCOM RPC, o invierà dei dati alla porta TCP 80 per sfruttare la vulnerabilità WebDav.
  3. Crea una shell remota sull'host vulnerabile che si riconnetterà al computer aggressore su una porta TCP casuale tra 666 e 765 per ricevere istruzioni.

Nota:

Nella stragrande maggioranza dei casi, la porta è 707 a causa del modo in cui il modello di threading del worm interagisce con l'implementazione del .dll di runtime C di Windows.

  1. Esegue il server TFTP sul computer aggressore, indica al computer vittima di connettersi e scaricare Dllhost.exe e Svchost.exe dal computer aggressore.

Se il file,`` %System%dllcachetftpd.exe`` esiste, il worm potrebbe non scaricare svchost.exe.

  1. Controlla la versione del sistema operativo, il numero di Service Pack e le impostazioni internazionali del computer e tenta di connettersi a Microsoft Windows Update e scaricare la patch appropriata per la vulnerabilità DCOM RPC.
  2. Dopo avere scaricato ed eseguito l'aggiornamento, il worm riavvierà il computer in modo che la patch venga installata.
  3. Controlla la data di sistema del computer. Se l'anno è 2004, il worm si disattiverà e si rimuoverà nel modo seguente:

Elimina il file`` %System%WinsDllhost.exe`` elimina i servizi, RpcPatch e RpcTftpd, e rimuove le chiavi di registro `` associate:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcPatch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcTftpd Il worm non elimina il file %System%\Wins\Svchost.exe, che è un server tftp non nocivo.

Note:

Il worm attiva la propria routine di rimozione solo se è stato avviato nell'anno 2004. Se il worm è stato in esecuzione fin dal 2003 non si autoeliminerà dopo il 1 gennaio 2004 a meno che il computer o il worm non sia riavviato manualmente.

Lo strumento di rimozione di W32.Welchia.Worm funzionerà ancora normalmente nel 2004.