Le 18.08.2003 est apparu un nouveau virus Windows, innovant dans son action :
- servant curieusement d’antivirus, il supprime un autre virus (Lovsan alias Blaster), mais n’est pas aussi efficace que le meilleur antivirus en 2011.
- il corrige une faille de sécurité des systèmes d’exploitation Windows 2000 et Windows XP
- mais, même si aucune altération ou vol de fichier, ni activité d’espionnage n’ont été détectées, il reste un worm (ver) capable de saturer un réseau.
Il s’agit de Nachi (alias Welchi, Welchia ou MSblast.D) qui infecte Windows 2000 et Windows XP.
Nachi est un anti-virus
Le virus Welchi désactive un autre virus récent, Lovsan (alias Blaster), en tuant le processus Msblast, et en supprimant le fichier %System%msblast.exe. Il ne supprime pas la clé de registre utilisée par le virus Lovsan, mais ce dernier ne peut plus s’exécuter.
Ce n’est pas le premier virus à être un anti-virus : Slammer est le précurseur en la matière.
Welchia corrige aussi une faille de sécurité
Par contre c’est la première fois qu’un virus essaie de corriger une faille de sécurité sur le système qu’il a lui-même infecté grâce à cette faille (comme le virus Lovsan).
En effet le virus Nachi corrige la faille de sécurité DCOM RPC des systèmes Windows 2000 et Windows XP. Il se connecte au site de mise à jour de Windows pour télécharger le correctif et l’exécuter. Puis il redémarre l’ordinateur pour terminer l’installation du correctif.
Mais Welchi reste un virus Windows en 2003
Mais Welchi reste un virus de type worm (ver), capable d’engorger un réseau local. En pratique sa vitesse de propagation est identique à celle de Lovsan, et plusieurs opérateurs internationaux ont signalé que Welchi commençait à saturer leurs réseaux.
Ainsi Nachi (alias Welchi, Welchia ou MSblast.D) restera dans les annales parce que ce nouveau virus Windows en 2003 sert en même temps d’antivirus ( contre le virus Lovsan / Blaster ) et corrige même une faille de sécurité !