W32/Welchi (alias Nachi, Welchia, MSBlast.D, Sachi)

Wie der vor kurzem aufgetauchte W32/Blaster [1] missbraucht auch W32/Welchi die als "DCOM/RPC" bekannte Sicherheitslücke in den Windows-Systemen NT, 2000 und XP. Microsoft hat bereits Mitte Juli 2003 einen Patch veröffentlicht, der das Leck stopft. Anwender sollten diesen unbedingt installieren, da bereits mehrere Schädlinge in Umlauf sind, welche die Lücke ausnutzen. Der Patch kann direkt von der Windows-Update-Site heruntergeladen werden [2].

Welchi verbreitet sich im Gegensatz zu Blaster über eine zusätzliche Windows-Schwachstelle, die mit dem WebDav-Protokoll zusammenhängt. Davon betroffen sind ebenfalls Rechner mit Windows NT, 2000 und XP. Nähere Informationen zur Lücke finden sich im MS-Sicherheitsbulletin 02-007 [3]. Auch zu diesem Sicherheitsloch steht eine Microsoft-Patch auf der Windows-Update-Site bereit.

Durch die zwei erwähnten Sicherheitslücken ist es W32/Welchi möglich, Systeme direkt übers Internet oder lokale Netzwerke zu infizieren. Er konnte sich deshalb in den letzten Tagen sehr stark verbreiten. Dabei kopiert er die Datei "Dllhost.exe" in das Verzeichnis "Wins\" im Windows-Systemordner (z.B. "C:\Windows\System32\Wins\Dllhost.exe"). Ausserdem legt der Wurm eine Kopie der Datei "Tftpd.exe" unter "Wins\Svchost.exe" im Systemordner an.

Welchi verschont auch die Windows-Registry nicht. Er macht dort folgenden Einträge:

"RpcPatch" und "RpcTftpd"

und zwar im Registry-Zweig:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Gleichzeitig installiert der Schädling die Dienste "RpcPatch" (unter dem Namen "WINS Client") und "RpcTftpd" (unter dem Namen "Network Connections Sharing"). Die beiden Services dienen dazu, die Dateien "Dllhost.exe" und "Svchost.exe" zu starten.

Um sich weiterzuverbreiten, nutzt der Wurm die anfangs beschriebenen Sicherheitslücken. Er schleust jeweils sich über die Ports 135 oder 80 ein.

Speziell an W32/Welchi ist, dass es sich eigentlich um keinen richtigen Schädling handelt. Er löscht vielmehr den Blaster/Lovsan-Wurm von infizierten Rechnern. Die Registry-Einträge von Blaster entfernt er dabei aber nicht. Zusätzlich lädt Welchi den Patch für die erwähnte "DCOM/RPC"-Sicherheitslücke von der Windows-Update-Site herunter. Er prüft bei dieser Aktion die Länderversion des Betriebssystems und installiert danach den Patch in den Sprachen Englisch, Koreanisch oder Chinesisch. Anschliessend fährt der Wurm automatisch das Betriebssystem herunter.

Welchi enthält zudem eine Funktion, welche die Computeruhr überprüft. Sobald der erste Januar 2004 erreicht wird, löscht er sich selbst von der Festplatte.

Obwohl es sich bei W32/Welchi eigentlich um einen Anti-Wurm handelt, empfehlen Sicherheitsfirmen, sich vor ihm zu schützen. Einerseits verursacht er unnötigen Internet-Traffic, andererseits schleust er sich unerlaubt über eine Sicherheitslücke auf fremden Rechnern ein. Antiviren-Firmen wie Network Associates [4], F-Secure [5] und Symantec [6] bieten für den Wurm ein Beseitigungs-Tool an.