Nouveau virus windows = anti-virus + anti-faille

Le 18.08.2003 est apparu un nouveau virus windows, innovant dans son action :

  1. il supprime un autre virus (Lovsan alias Blaster)
  2. il corrige une faille de sécurité des systèmes d’exploitation windows 2000 et windows XP
  3. mais, même si aucune altération ou vol de fichier, ni activité d’espionnage n’ont été détectées, il reste un worm (ver) capable de saturer un réseau.

Il s’agit de Nachi (alias Welchi, Welchia ou MSblast.D) qui infecte windows 2000 et windows XP.

Anti-virus


Le virus Welchi désactive un autre virus récent, Lovsan (alias Blaster), en tuant le processus Msblast, et en supprimant le fichier %System%msblast.exe.

Il ne supprime pas la clé de registre utilisée par le virus Lovsan, mais ce dernier ne peut plus s’exécuter.

Ce n’est pas le premier virus à être un anti-virus : Slammer est le précurseur.

Anti-faille de sécurité


Par contre c’est la première fois qu’un virus essaie de corriger une faille de sécurité sur le système qu’il a lui-même infecté grâce à cette faille (comme le virus Lovsan).

Le virus Nachi corrige la faille de sécurité DCOM RPC des systèmes windows 2000 et windows XP. Il se connecte au site de mise à jour de windows pour télécharger le correctif et l’exécuter. Puis il redémarre l’ordinateur pour terminer l’installation du correctif.

Welchi est un virus Windows


Mais Welchi reste un virus de type worm (ver), capable d’engorger un réseau local. En pratique sa vitesse de propagation est identique à celle de Lovsan, et plusieurs opérateurs internationaux ont signalé que Welchi commençait à saturer leurs réseaux.

Laisser un commentaire

Be careful: Comments are moderated before publication. If you publish only your link with an ad text, your message will never be published. So I deleted more than 80,000 spam before publication in 7 years. So do not waste your time.
But if you post an interesting comment or a lived testimony, you are welcome.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *