Nouveau virus windows : anti-virus et anti-faille
Le 18.08.2003 est apparu un nouveau virus windows, innovant dans son action :
- il supprime un autre virus (Lovsan alias Blaster)
- il corrige une faille de sécurité des systèmes d'exploitation windows 2000 et windows XP
- mais, même si aucune altération ou vol de fichier, ni activité d'espionnage n'ont été détectées, il reste un virus de type worm (ver) capable de saturer un réseau.
Il s'agit du virus Nachi (alias Welchi, Welchia ou MSblast.D) qui infecte windows 2000 et windows XP.
Anti-virus
Le virus Welchi désactive un autre virus récent, Lovsan (alias Blaster), en tuant le processus Msblast, et en supprimant le fichier %System%\msblast.exe.
Il ne supprime pas la clé de registre utilisée par le virus Lovsan, mais ce dernier ne peut plus s'exécuter.
Ce n'est pas le premier virus à être un anti-virus : Slammer est le précurseur.
Anti-faille de sécurité
Par contre c'est la première fois qu'un virus essaie de corriger une faille de sécurité sur le système qu'il a lui-même infecté grâce à cette faille (comme le virus Lovsan).
Le virus Nachi corrige la faille de sécurité DCOM RPC des systèmes windows 2000 et windows XP. Il se connecte au site de mise à jour de windows pour télécharger le correctif et l'exécuter. Puis il redémarre l'ordinateur pour terminer l'installation du correctif.
Welchi est un virus Windows
Mais Welchi reste un virus de type worm (ver), capable d'engorger un réseau local. En pratique sa vitesse de propagation est identique à celle de Lovsan, et plusieurs opérateurs internationaux ont signalé que Welchi commençait à saturer leurs réseaux.