Symantec Güvenlik Yanıt Merkezi Direktörü Vincent Weafer, W32.Welchia.Worm’un, BT yöneticilerinin W32.Blaster.Worm’dan sonra temizlemesini önleyen, sinsi bir solucan olduğunu belirtti. Ayrıca solucanın organizasyonlardaki kritik sunucuların servis reddine neden olduğunu ve ağ sistemlerini zor duruma düşürdüğünü bildirdi.
W32.Welchia.Worm W32.Blaster.Worm’dan etkilenen kullanıcıları hedefliyor. Sisteme bir kez girdiğinde, msblast.exe’yi siliyor, Microsoft’s Windows Update Web sitesinden DCOM RPC yamasını bilgisayara indiriyor, yamayı kuruyor ve bilgisayarı yeniden çalıştırıyor. Solucan, ICMP trafiğinde önemli bir artışa neden olabilecek bir ICMP echo ya da PING göndererek etkileyebileceği aktif makineleri kontrol ediyor. ICMP Internet mesajları göndermek için kullanılan bir TCP/IP protokolüdür.
Weafer, “Büyük kurumların W32.Blaster.Worm’a karşı ağlarını savunmak için gerekli ürünlere sahip olmalarına rağmen dahili yayılmalar hala yüksek ölçüde devam ediyor. Coğrafi olarak yayılımın yoğun olduğu çevrelerde güvenlik yamasının yaygın olarak kullanılabilmesi haftalar hatta aylar alacaktır. W32.Blaster.Worm ve W32.Welchia.Worm solucanları ağın çeşitli katmanlarındaki yayılmaların önlenmesinde uzaktan giriş yapan kullanıcılar için güvenlik politikaları uyumluluğu da dahil olmak üzere geniş kapsamlı güvenlik önlemlerine duyulan ihtiyacın açık birer örneğidir.” dedi.
W32.Welchia.Worm, Microsoft Windows DCOM RPC Interface Buffer Overrun güvenlik açığına karşı yaması olmayan Windows XP ve Windows 2000 üzerindeki TCP port 135’ten ve Microsoft Windows WebDav (ntdll.dll) Buffer Overflow güvenlik açığına karşı yaması olmayan Microsoft IIS 5.0 sistemlerinin üzerindeki TCP port 80’den yayılıyor.
Symantec DeepSight Threat Management System bu günlerde TCP Port 80 ve Microsoft Windows Web Dav Buffer Overflow güvenlik açığını hedefleyen Ips kaynaklarında alışılmışın dışında seviyeler tespit ediyor. TCP Port 135, W32.Blaster.Worm ve W32.Welchia.Worm’un aktiviteleri için önde gelen hedeflerden biri olmayı sürdürüyor.
Yöneticiler Microsoft Windows DCOM RPC Interface Buffer Overrun ve Microsoft Windows WebDav Buffer Overflow güvenlik açıklarına karşı uygulanan yamaları temin etmeleri konusunda önemle uyarılıyor.
W32.Welchia.Worm Removal Tool
Symantec Güvenlik Yanıt Merkezi W32.Welchia.Worm için bir etkisizleştirme aracı hazırladı. Bu araca burayı tıklayarak ulaşabilirsiniz.
SYMANTEC HAKKINDA
İnternet güvenlik teknolojilerinde dünya liderlerinden olan Symantec; bireylere, işletmelere ve servis sağlayıcılara, geniş çaplı içeriğin yanı sıra ağ güvenliği yazılımı ve uygulama çözümleri sağlıyor. Şirket, dünya çapındaki kuruluşlara; firewall security, sanal ağ oluşturma, virüs koruması, saldırılara karşı hassasiyet değerlendirmesi, izinsiz girişlerin önlenmesi, İnternet içeriği ve e-mail filtrelemesi, uzaktan yönetim teknolojileri ve güvenlik hizmetlerinin sağlanmasında lider çözümler sunuyor.