V priebehu dneÜnΘho poobedia priniesli AV-spoloΦnosti informßcie o novom internetovom Φervovi nazvanom Win32/Welchia.A. Ten pri svojom masovom Üφrenφ vyu₧φva nie jednu, ale hne∩ dve (... starΘ) bezpeΦnostnΘ chyby objavenΘ v rßmci rozhrania DCOM RPC a protokolu WebDAV, nachßdzaj·ce sa v OS MS Windows NT-2003. PovÜimnutia hodnΘ pri ≥om je vÜak hlavne to, ₧e v infikovan²ch a nezaplßtan²ch systΘmoch sa pok·Üa vyh╛adßva¥ a nßsledne eliminova¥ Φerv Win32/Blaster.A a tie₧ inÜtalova¥ oficißlnu bezpeΦnostn· zßplatu odstra≥uj·cu chybu v rozhranφ DCOM RPC. Ba Φo viac, tento Φerv disponuje aj autodeÜtruktφvnou rutinou urΦenou pre odstrßnenie jeho vlastnΘho tela zo systΘmu v okamihu, ke∩ rok v systΘmovom dßtume nadobudne hodnotu 2004. S ist²m nadh╛adom by sa dalo poveda¥, ₧e ide o Ükodliv² k≤d, ktor² disponuje obmedzen²mi aktualizaΦn²mi i AV-funkciami.

Internetov² Φerv Win32/Welchia.A (... alias Win32/Nachi, poniektorΘ AV-spoloΦnosti mu dokonca pridelili nßzov Win32/Blaster.D) sa do nezabezpeΦen²ch systΘmov sna₧φ nakopφrova¥ a nßsledne aktivova¥ za pou₧itia dvoch kritick²ch bezpeΦnostn²ch ch²b objaven²ch v rozhranφ Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) a protokole World Wide Web Distributed Authoring and Versioning (WebDAV), nachßdzaj·cich sa v rßmci OS MS Windows NT-XP/2003. K≤piu svojho tela ukladß do adresßra C:\Windows\System32\WINS alebo C:\WINNT\System32\WINS vo forme spustite╛nΘho s·boru nazvanΘho DLLHOST.EXE (... ktorΘho ve╛kos¥ je 10 240 bajtov). Do toho istΘho adresßra Φerv kopφruje aj systΘmov² s·bor TFTPD.EXE (tzv. Trivial File Transfer Deamon û jednß sa o legßlnu s·Φas¥ OS MS Windows NT-2003), ktor² premenuje na SVCHOST.EXE. Nßsledne si ·pravami vykonan²mi v systΘmov²ch registroch vytvorφ dve systΘmovΘ slu₧by nazvanΘ "WINS Client" (... zabezpeΦuje aktivßciu s·boru DLLHOST.EXE) a "Network Connections Sharing" (... zabezpeΦuje aktivßciu s·boru SVCHOST.EXE), ku aktivßcii ktor²ch dochßdza automaticky pri ka₧dom ∩alÜom Ütarte OS. ╚erv v systΘmov²ch registroch doplnφ za t²mto ·Φelom nasleduj·ce k╛·Φe/hodnoty:

HKLM\System\CurrentControlSet\Services\RpcPatch\
... ImagePath = %System%\wins\DLLHOST.EXE

HKLM\System\CurrentControlSet\Services\RpcTftpd
... ImagePath = %System%\wins\svchost.exe

Proces Üφrenia sa Φerva Win32/Welchia.A je do istej miery podobn² tomu, ktor² sme pred Φasom prezentovali v s·vislosti s jednotliv²mi variantmi Φerva Win32/Blaster. Po kontrole pripojenia infikovanΘho systΘmu k poΦφtaΦovej sieti zaΦne Φerv generova¥ nßhodnΘ IP adresy potencißlnych cie╛ov²ch systΘmov, s ktor²mi sa sna₧φ priebe₧ne kontaktova¥ a zis¥ova¥, Φi disponuj· bezpeΦnostn²mi chybami umo₧≥uj·cimi jeho ∩alÜie Üφrenie. So vÜetk²mi vyhovuj·cimi systΘmami, ktorΘ Φerv v sieti identifikuje sa nßsledne pok·si nadviaza¥ spojenie, formou zaslania Üpecißlne upravenej RPC (... cez port 135) alebo HTTP (... cez port 80) po₧iadavky. Tß mu umo₧nφ odosla¥ na vzdialenΘ û nezabezpeΦenΘ systΘmy jeho v²konn² k≤d a vykona¥ tie₧ jeho aktivßciu. V prφpade, ₧e jednotlivΘ operßcie prebehn· korektne zaΦne sa proces integrßcie a Üφrenia sa Φerva opakova¥ na prßve infikovanom vzdialenom systΘme od zaΦiatku.

Okrem vyÜÜie uveden²ch operßciφ v infikovanom systΘme tento Φerv vykonßva eÜte nieko╛ko dos¥ atypick²ch procesov, s ktor²mi sa pri be₧n²ch Ükodliv²ch k≤doch nestretßvame prφliÜ Φasto!!!
Prv²m z nich je vyh╛adßvanie a pozastavenie procesu nazvanΘho MSBLAST (... ktor² patrφ masovo sa Üφriacemu ÜkodlivΘmu k≤du Win32/Blaster.A) v operaΦnej pamΣti poΦφtaΦa a nßslednΘ odstra≥ovanie jeho zdrojovΘho s·boru nazvanΘho MSBLAST.EXE z pevnΘho disku (... konkrΘtne z adresßra C:\Windows\System32 alebo C:\WINNT\System32). K dokonalosti v tomto smere ch²ba u₧ len odstrßnenie hodnoty, ktor· Φerv Win32/Blaster.A pri svojej aktivßcii zapisuje do systΘmov²ch registrov (... i ke∩ tß bez zdrojovΘho s·boru nemß pre systΘm takmer ₧iaden v²znam).
Druh²m z t²chto procesov je identifikßcia pou₧φvanej verzie i jazykovej mutßcie OS MS Windows na infikovanom systΘme. V prφpade ak Φerv pri tomto procese zistφ, ₧e je nainÜtalovanß jeho anglickß, Φφnska alebo k≤rejskß jazykovß mutßcia automaticky stiahne (... prostrednφctvom pevne preddefinovan²ch odkazov ulo₧en²ch vo svojom k≤de) zo strßnok spoloΦnosti Microsoft bezpeΦnostn· zßplatu odstra≥uj·cu chybu v rozhranφ DCOM RPC (... jej ve╛kos¥ je pribli₧ne 1,2 MB). Tßto operßcia prebieha korektne iba v OS MS Windows 2000/XP, Φo s· zßrove≥ jedinΘ systΘmy, ktorΘ m⌠₧e tento Ükodliv² k≤d na dia╛ku infikova¥. Zφskan· bezpeΦnostn· zßplatu Φerv po jej ·speÜnom stiahnutφ a ulo₧enφ na pevn² disk automaticky nainÜtaluje, Φφm dan² systΘm do bud·cna zabezpeΦφ pred ∩alÜφmi mo₧n²mi ·tokmi zo strany tak²ch Ükodliv²ch k≤dov, ak²m je on sßm. Nakoniec eÜte Φerv reÜtartuje poΦφtaΦ!
Posledn²m zo spomφnan²ch procesov je v tomto smere aktivßcia autodeÜtruktφvnej rutiny, ktorß (... ak rok v systΘmovom dßtume nadobudne hodnotu 2004) odstrßni zo systΘmu vÜetky Φervom vytvorenΘ dßta i s·bory.

Na zßver azda stojφ za zmienku aj to, ₧e v k≤de tvoriacom telo Φerva je mo₧nΘ nßjs¥ nasleduj·ci textov² odkaz pochßdzaj·ci od jeho autora: "=========== I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli~~~=========== wins".

Pod╛a aktußlne dostupn²ch informßciφ sa internetov² Φerv Win32/Welchia.A Üφri len minimßlne, a to v²luΦne prostrednφctvom poΦφtaΦovej siete Internet. VÜetk²m pou₧φvate╛om opΣtovne odpor·Φame, aby Φo najsk⌠r vykonali aktualizßciu nimi pou₧φvanΘho AV-systΘmu (... staΦφ na ·rovni databßzy vφrusov²ch re¥azcov) a taktie₧ nezabudli "zaplßta¥" svoje deravΘ OS MS Windows NT-2003 (... ak tak u₧ nßhodou neurobili). Nu₧ a pre t²ch "neÜ¥astnφkov", ktor²ch poΦφtaΦe alebo servery u₧ stihol vyÜÜie spomφnan² internetov² Φerv infikova¥ pon·kame r²chlo a efektφvne pou₧ite╛nΘ jedno·ΦelovΘ AV-programy dostupnΘ v sekcii Jedno·ΦelovΘ AV.