Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/8/2003
W32/Welchia ormen udnytter 2 huller i Windows til at inficere systemer.Når ormen er brudt ind i et nyt system, hjemtages og afvikles en kopi af den uautoriserede kode fra det angribende system.
Derefter søger ormen efter en konkurrerende orm (W32/Blaster) og ormen fjernes, hvis systemet er inficeret med denne.
Endvidere installerer ormen Microsoft's programrettelse til DCOM RPC-sårbarheden, for at hindre, at andre orme skal udnytte samme sårbarhed.
W32/Welchia (W32/Nachi) spreder sig ved, at generere netværksadresser, som bruges til at skanne efter nye systemer.
Skanningen indledes med afsendelsen af en ping-pakke for at kontrollere, om der er en lyttende maskine på adressen. Herefter skannes der for nye sårbare systemer ved at sende data mod TCP-port 135 eller TCP-port 80.
Ved denne procedure kan ormen belaste det lokale netværk betragtelig ved, at et antal inficerede systemer genererer
forespørgsler og modtager svar fra tusindvis af fremmede maskiner.