Welchia

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

El gusano Welchia, también conocido como "Nachia worm", es un gusano informático que explota una vulnerabilidad en los servicios Remote procedure call (RPC) de Microsoft, de una forma similar al gusano Blaster. Al contrario que éste, Welchia intenta ayudar al usuario descargando e instalando parches de seguridad del sitio web de Microsoft. A pesar de que no produce daños, puede incrementar el tráfico en las redes, reiniciar el ordenador infectado y, lo que es más grave, actúa sin consentimiento del usuario. Desde su descubrimiento, el 18 de agosto de 2003, ha experimentado distintas mutaciones y variantes.[1]

Detalles técnicos[editar]

Este gusano infectaba los sistemas aprovechando debilidades en el código del sistema de Microsoft Windows (TFTPD.EXE y TCP en los puertos 666-765, y el desbordamiento del buffer del servicio RCP en el puerto 135). Su procedimiento de infección consiste en crear un shell remoto y dar orden al sistema para que éste descargue el gusano vía TFTPD.EXE. Este ejecutable se encuentra sólo en determinados sistemas operativos, y sin él la conexión falla en este punto. Más específicamente, el gusanoWelchia se dirigía a las máquinas que corrían bajo Windows XP.

Una vez en el sistema, el gusano subsanaba la vulnerabilidad empleada para obtener el acceso (de hecho, protegiendo el sistema contra otros intentos de explotar el mismo procedimiento de infección) y ejecutaba su contenido, un conjunto de parches de Microsoft. Después intentaba eliminar "W32/Lovsan.worm.a" borrando MSBLAST.EXE. Además, el gusano estaba programado para autodestruirse el 1 de enero de 2004 o después de 120 días de funcionamiento en la máquina infectada; lo que se produjera antes.

La versión Welchia.B intentaba limpiar el virus "MyDoom".[1]

Impacto[editar]

Aunque este gusano no dañaba aparentemente los sistemas informáticos individuales -es más, ayudó a mejorar la seguridad de determinados sistemas-, creaba enormes flujos de tráfico con su método de transmisión, ralentizando el flujo de Internet y el website de Microsoft.[2] La actividad del gusano también desestabilizaba algunos sistemas y, una vez los parches eran instalados, el sistema infectado se reiniciaba sin aviso. Por todo ello, el gusano se percibió como una amenaza, y las principales compañías antivirus ofrecieron un parche para combatirlo.

Se reportó que infectó la intranet de la infantería de Marina de EE.UU. y consumió tres cuartas partes de su capacidad, inutilizándola por un tiempo. No se entregaron números de sistemas infectados.[3] Adicionalmente, infectó la red del Departamento de Estado de EE.UU., causando el cierre de la red por nueve horas. Aunque archivos clasificados no se vieron comprometidos, varios sistemas se vieron afectados. [4]

Referencias[editar]

  1. a b Leyden, John (12 de Febrero de 2004). «Nachi variant wipes MyDoom from PCs» (en inglés). The Register. Consultado el 21 de abril de 2014.
  2. Naraine, Ryan (19 de agosto de 2003). «'Friendly' Welchia Worm Wreaking Havoc» (en inglés). InternetNews.com. Consultado el 21 de abril de 2014.
  3. Messmer, Ellen (19 de agosto de 2003). «Navy Marine Corps Intranet hit by Welchia worm» (en inglés). NetworkWorld.com. Consultado el 21 de abril de 2014.
  4. Labott, Elisse (24 de septiembre de 2003). «'Welchia worm' hits U.S. State Dept. network» (en inglés). CNN.com. Consultado el 21 de abril de 2014.

Enlaces externos[editar]