В интернете обнаружен вирус, который ищет
компьютеры, зараженные червем Blaster (Lovesan),
лечит их и устанавливает заплатку для Windows,
сообщает "Лаборатория
Касперского".
Welchia проникает в компьютер, как и Blaster,
через бреши в системе безопасности. Однако,
в отличие от него, вирус атакует не только
уязвимость в службе DCOM RPC (удаленный вызов
процедур в операционных системах семейства
Windows NT), но также брешь WebDAV в системе IIS 5.0 (специальное
программное обеспечение для управления web-серверами).
В ходе атаки он пересылает на компьютер
свой файл-носитель, устанавливает его в
системе под именем DLLHOST.EXE в подкаталоге WINS
системного каталога Windows и создает сервис
"WINS Client", рассказали в антивирусной
компании.
После этого Welchia начинает процедуру
нейтрализации червя Blaster. Для этого он
проверяет наличие в памяти процесса с
именем "MSBLAST.EXE", принудительно
прекращает его работу, а также удаляет с
диска одноименный файл. Далее Welchia
сканирует системный реестр Windows для
проверки установленных обновлений. В
случае, если обновление, закрывающее
уязвимость в DCOM RPC, не установлено, червь
инициирует процедуру его загрузки с сайта
Microsoft, запускает на выполнение и, после
успешной установки, перегружает компьютер.
После проведенной чистки вирус
самоуничтожается.
В "Лаборатории" отмечают, что уже
сейчас распространение Welchia достигло
глобальных масштабов (интересно, уж не
задумка ли это Microsoft? :). При сохранении этой
тенденции можно считать, что в течение
недели червь сможет полностью погасить
эпидемию Blaster.
