C'est une première : un ver doté de bonnes intentions, qui se répand pour empêcher la propagation d'un prédécesseur bien moins clément. Mardi matin, les éditeurs d'anti-virus signalaient la propagation rapide de Welchia (W32.Welchia.Worm), un ver apparu la semaine dernière peu après Blaster et qui exploite la même vulnérabilité Microsoft DCOM RPC utilisant le port 135. Il exploite également une faille WebDAV détectée sur les serveurs Microsoft IIS au mois de mars dernier.
Seulement Welchia a une originalité : il contre Blaster. Une fois installé sur un ordinateur, il y cherche son ver concurrent, le détruit s'il est présent, puis télécharge le patch de sécurité de Microsoft concernant la faille de sécurité avant de s'autodétruire.
"Nous avons vu des choses similaires par le passé, mais de là à appliquer les patchs de sécurité Microsoft c'est une première !" explique Alexandre Durante, DG de F-Secure France. "Malheureusement, précise-t-il, ce virus n'est pas parfait et risque d'engendrer d'autres problèmes pour les utilisateurs." Welchia pourrait en effet encombrer les bandes passantes lors de sa propagation ou endommager les ordinateurs sur lesquels il ne s'exécute pas proprement.
Même s'il ne vise pour l'instant que les sytèmes en anglais, chinois ou coréen, il est donc recommandé d'appliquer soi même les patchs de sécurité et de visiter les sites des éditeurs d'anti-virus. Mardi, Welchian se propageait à la même vitesse que Blaster la semaine dernière.
Par C.A.