El virus Welchia: cómo funciona y cómo protegerte

El virus Welchia, más comúnmente conocido como gusano Nachi, se encuentra entre los virus informáticos más singulares, ya que fue creado para ser útil y no dañino. El 28 de mayo de 2003, Microsoft lanzó un parche para protegerte de un exploit en WebDAV. Sin embargo, los investigadores de ciberseguridad de Xfocus no tardaron mucho en aplicar ingeniería inversa al parche para permitir que el gusano atacara.

Te puede interesar: ¿Qué es el procesamiento del lenguaje natural (PLN) y cómo funciona?

Blaster fue programado para iniciar una inundación SYN contra el puerto 80 de windowsupdate.com para provocar un ataque distribuido de denegación de servicio (DDoS). Blaster contenía dos mensajes. El primero decía ‘¡¡Solo quiero decirte ¡¡TE AMO SAN!!’ El segundo decía ‘Billy Gates ¿por qué haces esto posible? ¡¡Deja de ganar dinero y arregla tu software!!’.

El gusano Welchia explota el servicio de llamada a procedimiento remoto (RPC) de Microsoft de forma muy parecida a Blaster. Sin embargo, la primera tarea que realizó fue buscar y eliminar cualquier instancia de Blaster en tu dispositivo. Luego, intentó descargar e instalar parches de seguridad de Microsoft que evitarían que Blaster volviera a infectar computadoras con Windows. Welchia tuvo un éxito increíble en librar al mundo del gusano Blaster, lo que le valió la reputación de ser un gusano útil, también llamado Nematodos, en honor a una especie de gusano que mata las plagas del jardín.

Microsoft afirmó que Welchia no siempre logró aplicar el parche de seguridad. Incluso si Welchia pretendía ser útil y no un código malicioso, Microsoft te vio como una molestia que socavaba la confianza de los consumidores en Windows. Algunos expertos en seguridad creían que Welchia requería demasiados recursos y afirmaron que el remedio es peor que la enfermedad. Independientemente, Welchia fue diseñado para realizar su tarea y luego eliminarse a principios de 2004.

Otros nombres para el virus Welchia incluyen

¿Cómo actúa el virus Welchia?

El gusano Nachi fue diseñado por hackers de sombrero blanco para deshacerse de otro gusano conocido como Blaster, que sí contenía código malicioso. Funcionó explotando el comportamiento del DCOM RPC en el sistema operativo Windows de Microsoft. Primero, una máquina objetivo recibió una solicitud de eco ICMP, más comúnmente llamada PING, para ver si la dirección IP es válida.

Luego, utilizó una vulnerabilidad en DCOM RPC o aprovechó una vulnerabilidad separada en WebDAV. Una vez establecida la conexión, la máquina atacante crearía un shell remoto en un puerto aleatorio entre 666 y 765 para enviar instrucciones. En la mayoría de los casos, se seleccionó el puerto 707.

Desde allí, se le indicaría a la máquina de destino que descargue el gusano a través del protocolo trivial de transferencia de archivos (TFTP) en el subdirectorio de la carpeta del sistema «Wins» como dllhost.exe y lo ejecute. Luego, el gusano Nachi buscaría en las carpetas del sistema un archivo llamado tftpd.exe para asegurarse de que, una vez completada la operación, pudiera enviar una copia de sí mismo a otra computadora.

Una vez garantizado el proceso de propagación, Welchia finalizó el proceso MSBLAST y eliminó el archivo MSBLAST.exe. Verificó el registro para ver si se había instalado el parche de vulnerabilidad RPC de Microsoft. Si no lo hubiera hecho, descargaría e instalaría el parche en la computadora. Una vez que se completó todo el proceso, Welchia reinició la computadora para completar la instalación.

Para completar la eliminación de Blaster, el gusano Nachi comenzaría a propagarse a otras computadoras con Windows seleccionando direcciones IP basadas en la dirección IP del sistema actual. A cada dirección IP se le enviaría un PING para confirmar si había una máquina para infectar donde se repetiría el proceso. El gusano Nachi se eliminó cuando el año cambió a 2004.

Efectos no deseados del gusano Nachi

Efectos no deseados del gusano Nachi

Si bien Welchia fue creado para ser un gusano útil en lugar de malware, tuvo consecuencias que amenazaron la seguridad del sistema tanto para la Marina como para las empresas. Los departamentos de TI lo vieron como un gran problema para la ciberseguridad y sufrieron dolores de cabeza al intentar formar protocolos de prevención. El gusano Nachi no era un código malicioso, pero consumía muchísimos recursos.

Contenido similar: ¿Qué es un «Pi-Hole» y por qué necesitas uno?

La infección, o proceso de propagación, provocó que los servidores empresariales y los servidores de la Marina se paralizaran durante el tiempo suficiente como para ser más que una molestia. Con algunas tareas corporativas, el requisito de que el servidor se apagara para completar la infección/instalación interrumpió tareas importantes y tuvo efectos no deseados.

Los dos efectos no deseados más notables del gusano Nachi afectaron a la Armada y el Cuerpo de Infantería de Marina y al Departamento de Estado. La intranet de la Marina se vio gravemente afectada por el gusano, ya que no tenía medios de prevención o seguridad si los síntomas del gusano provocaban el cierre de la red, lo cual ocurrió.

Si bien no se sabe cuántos de los sistemas fueron infectados por el gusano de malware hacker de ‘sombrero blanco’ diseñado para eliminar el gusano Blaster, se informa que provocó que se utilizaran tres cuartas partes de la capacidad de la intranet de la Marina durante el proceso de propagación, lo que dejó la intranet prácticamente inservible durante algún tiempo.

La red del Departamento de Estado sintió aún más los efectos. La red del departamento se vio obligada a cerrar durante nueve horas debido al uso de recursos y la detección de posible malware en el sistema. El Sistema de Apoyo y Vigilancia Consular (CLASS) del Departamento de Estado, que posee más de 12,8 millones de registros del FBI, el Departamento de Estado, las agencias de inmigración, antidrogas y de inteligencia de Estados Unidos, quedó paralizado.

Cuando se detectó que el gusano Nachi era un virus informático, el sistema de visas de EE. UU. se vio obligado a colocar a miles de candidatos a visas en un estado de limbo, ya que el Departamento de Estado no tenía una red de seguridad en forma de un sistema de respaldo para manejar el problema.

Los representantes del gobierno nunca declararon explícitamente qué programa malicioso había infectado sus sistemas. Sin embargo, se envió un mensaje a las embajadas y oficinas consulares estadounidenses que decían que se había encontrado el virus Welchia en una instalación. Debido a la pertinente necesidad de seguridad de los datos, el Departamento de Estado cerró todo el sistema para aislar y eliminar el gusano.

Síntomas de una infección por el virus Welchia

Como el gusano Nachi no fue creado con código malicioso, no causó muchos síntomas. El único problema que se produjo debido al virus Welchia fue una ralentización masiva del sistema debido a la naturaleza intensiva en recursos de la técnica de propagación utilizada. También provocó que las máquinas se reiniciaran una vez que se completó el proceso de instalación de actualizaciones y parches de seguridad de Microsoft.

Te recomendamos que leas sobre: El virus CryptoLocker: cómo funciona y cómo protegerse

Cómo deshacerte del virus Welchia

El virus Welchia fue codificado con instrucciones para eliminarse a principios de 2004, suponiendo que a principios de ese año todas las instancias del gusano Blaster serían erradicadas. Completó su trabajo a pesar de que pudo haber molestado a algunos propietarios de negocios, a la Marina y al Departamento de Estado al hacerlo. Desde entonces, ningún hacker ha reutilizado o intentado recrear el virus Welchia. En algunos casos, los programadores de antivirus han utilizado el código con fines de ciberseguridad.

El mejor software antivirus para el virus Welchia

El virus Welchia fue diseñado como lo que podría denominarse un virus «antivirus». Tenía un propósito específico con instrucciones codificadas para eliminarse a principios de 2004. Hoy en día, cualquier forma de antivirus, Windows Defender o firewall podría evitar que el gusano prolifere en todos los sistemas. Como se ha cumplido su propósito, no hay necesidad de preocuparse por la prevención ni de la necesidad de deshacerte del gusano Nachi.

Preguntas frecuentes

¿Cómo funciona un virus Welchia?

Cómo funciona un virus Welchia
Cómo funciona un virus Welchia

El virus Welchia fue diseñado para encontrar todas las computadoras que pudiera mediante el uso de PING a direcciones IP de otros dispositivos en red. Una vez que PING confirmó que la dirección IP era una computadora válida, elegiría uno de dos exploits para obtener acceso a la computadora de destino. Lo hizo a través de una vulnerabilidad en DCOM RPC o una vulnerabilidad en WebDAV. Cualquiera que sea el método que tenga éxito, el gusano se parcheará para evitar nuevos ataques una vez instalado.

Luego, el gusano Nachi se prepararia para viajar a la siguiente computadora y llegar a todos los dispositivos conectados a Internet. Una vez que los medios de propagación estuvieron seguros, el virus Welchia buscó y destruyó cualquier instancia del gusano Blaster en el dispositivo objetivo.

Luego, el gusano comenzaría el proceso para pasar a la siguiente computadora, repetidamente. Esto tenía como objetivo eliminar por completo el gusano Blaster de la existencia. El hacker detrás del código también escribió instrucciones para que el gusano se eliminara a principios de 2004, poniendo fin tanto al gusano Blaster como al virus Welchia.

¿Cómo puedes protegerte del virus Welchia?

El virus Welchia fue un evento único que nunca tuvo la intención de replicarse. No hay necesidad de preocuparse por ello en la actualidad, salvo como un momento histórico para la ciberseguridad.

Te sugerimos leer: ¿Qué es un analizador? Definición

¿Quién creó el virus Welchia?

A día de hoy aún se desconoce el origen del virus Welchia. La creación y difusión de un virus informático, incluso si tiene intenciones benévolas, puede considerarse ilegal, especialmente porque afectó a los sistemas del Departamento de Estado y a la intranet de la Marina. Nadie ha reclamado la propiedad del código ni se ha identificado su origen. La única pista que contenía el virus eran las siguientes cadenas de texto:

‘Amo a mi esposa y a mi bebé Bienvenido Chian Aviso: 2004 me eliminaré Lo siento, zhongli’

Si bien esto puede implicar que el creador del gusano es chino, no se sabe con certeza.

¿De dónde viene el virus Welchia?

No ha habido resultados oficiales de una investigación que pueda señalar el verdadero origen del virus Welchia. La nota contenida en el código como una cadena de texto puede implicar el origen de un investigador chino de ciberseguridad. Sin embargo, no hay evidencia que pruebe esta afirmación.

¿Cómo funcionan los virus gusanos?

Un gusano informático es un tipo de malware o software que propaga copias de sí mismo de un dispositivo a otro sin necesidad de interacción humana. Primero, un gusano debe obtener acceso a un dispositivo objetivo a través de una vulnerabilidad. Una vez que se concede el acceso, el gusano se instala en ubicaciones específicas y se otorga acceso a la clave de registro sin el conocimiento del propietario de la computadora.

El gusano se puede programar para hacer casi cualquier cosa a partir de ese momento, como agotar los recursos del sistema, sobrecargar el ancho de banda de la red o modificar/eliminar datos almacenados. La única función específica requerida para que el malware se clasifique como gusano es que pueda replicarse de una computadora a otra.

¿Cuándo se creó el virus Welchia?

El virus Welchia fue descubierto y probablemente creado en julio de 2003. El virus fue descubierto oficialmente el 18 de julio de 2003. También fue programado para eliminarse a sí mismo a principios de 2004.

¿A quién afectó el virus Welchia?

El virus Welchia llegó a casi todos los dispositivos conectados a Internet en 2003. Su objetivo era erradicar el gusano malicioso Blaster que había llegado a las computadoras y servidores de Windows a través de las vulnerabilidades RPC y WebDAV. En particular, causó una grave interrupción en la intranet de la Marina y en la red CLASS del Departamento de Estado, lo que provocó un cierre de nueve horas en la emisión de visas.

No te vayas sin leer: Cómo bloquear un documento de Word

¿Para qué se creó el virus Welchia?

El virus Welchia fue creado para eliminar un gusano malicioso conocido como gusano Blaster. Lo hizo utilizando las mismas vulnerabilidades que utilizó el gusano Blaster para llegar a todos los dispositivos en red que pudo. Una vez que el virus Welchia se instaló en una computadora de destino, parchó la vulnerabilidad que utilizó para obtener acceso, eliminó cualquier instancia del virus Blaster y comenzó a enviarse a la siguiente computadora. Fue diseñado para dejar de existir a principios del año 2004.

También te puede interesar:

Deja un comentario