Welchia , también conocido como el " gusano Nachi ", es un gusano informático que explota una vulnerabilidad en el servicio de llamada a procedimiento remoto (RPC) de Microsoft similar al gusano Blaster . Sin embargo, a diferencia de Blaster, primero busca y elimina Blaster si existe, luego intenta descargar e instalar parches de seguridad de Microsoft que evitarían una mayor infección por Blaster, por lo que se clasifica como un gusano útil . Welchia tuvo éxito en eliminar Blaster, pero Microsoft afirmó que no siempre tuvo éxito en aplicar su parche de seguridad. [1]
Este gusano infectaba los sistemas explotando vulnerabilidades en el código del sistema de Microsoft Windows ( TFTPD.EXE y TCP en los puertos 666–765, y un desbordamiento de búfer del RPC en el puerto 135). Su método de infección es crear un shell remoto e indicar al sistema que descargue el gusano mediante TFTP.EXE. En concreto, el gusano Welchia apuntaba a máquinas que ejecutaban Windows XP. El gusano utilizaba ICMP y, en algunos casos, inundaba las redes con suficiente tráfico ICMP como para causar problemas. [2]
Una vez en el sistema, el gusano repara la vulnerabilidad que utilizó para obtener acceso (con lo que protege al sistema contra otros intentos de explotar el mismo método de intrusión) y ejecuta su carga útil, una serie de parches de Microsoft. A continuación, intenta eliminar el gusano Blaster borrando MSBLAST.EXE. Si todavía está en el sistema, el gusano está programado para autoeliminarse el 1 de enero de 2004 o después de 120 días de procesamiento, lo que ocurra primero.
En septiembre de 2003, el gusano fue descubierto en la red informática del Departamento de Estado de EE. UU., lo que obligó a cerrar la red durante nueve horas para solucionar el problema. [3]