Symantec’e göre yeni W32.Welchia.Worm, DCOm RPC açığını kullanarak sistemde W32.Balster kurçuğunun yüklediği, Msblast.exe olup olmadığına bakıyor. Tamirci diyebileceğimiz virüs blaster’i varsa sistemden siliyor.
Symantec’ten Oliver Friedrichs, internetnews.com’a Welchia’nın daha sonra DCOM RPC açığına ait Microsoft yamasını ilgili siteden yüklemeye başladığını söylüyor. Friedrichs “Eğer yükleme başarılıysa, kurtçuk bilgisayarı kapatıp açıyor. Böylece yüklemeler aktif hale gelebiliyor.” diye ekliyor.
Friedrichs “Bu gibi kurtçuklar, sanki iyi bir şey yapıyorlarmış gibi gözükebilir. Ama sistem bu sefer de bu virüsle enfekte olmuş demektir” diyor.
iDefense’den güvenlik uzmanı Ken Dunham yeni kurtçuğunu TCP 707 port’unu açtığını bildiriyor: “Bu tehlikeyi yükseltiyor. Bazıları buna iyi virüs diyebilirler. Ama daha sonra ne tür problemlere yol açacaklarını bilemiyoruz” diyor.
Dunham’a göre yeni Welchia kendisini sistemden 2004 yılına kadar silmiyor. “Bu kurtçuğun kendisini sessiz sedasız yaymasına neden olabilir.” diye ekliyor.
Symantec’ten Friedrichs Blaster’in yayılmasında yavaşlama olduğunu bildiriyor: “Son 48 saatte, % 15-20 arası azalma görüyoruz. Azalıyor ama hala önemli bir miktar orada, bekliyor. Bu diğer taraftan bize yamalanmamış bilgisayarların varlığını da hatırlatıyor” diyor.
Friedrichs kurtçuğun 11 ağustosta ilk gözükmesinden bu yana 572,000 unique etkilenme kaydettiklerini söylüyor: “Kurtçuk şu anda en yüksek olduğu seviyeden % 15 aşağıda. Ama tüm sistemler güvenlik yamalarını tamamlayana kadar yok olmayacak” diye ekliyor.
Symantec bu kurtçuğun türevlerinin önümüzdeki aylar boyunca da yayılmaya devam edeceğini tahmin ediyor.
iDefense’den Dunham da, kullanıcıları yamaları yüklemek için davet ediyor.