В інтернеті виявлено вірус, який шукає
комп'ютери, заражені хробаком Blaster (Lovesan),
лікує їх і встановлює латочку для Windows,
повідомляє "Лабораторія
Касперського ".
Welchia проникає в комп'ютер, як і Blaster,
через проломи в системі безпеки. Однак,
на відміну від нього, вірус атакує не тільки
вразливість в службі DCOM RPC (віддалений виклик
процедур в операційних системах сімейства
Windows NT), але також пролом WebDAV в системі IIS 5.0 (спеціальне
програмне забезпечення для управління web-серверами).
В ході атаки він пересилає на комп'ютер
свій файл-носій, встановлює його в
системі під ім'ям DLLHOST.EXE в підкаталозі WINS
системного каталогу Windows і створює сервіс
"WINS Client", розповіли в антивірусної
компанії.
Після цього Welchia починає процедуру
нейтралізації хробака Blaster. Для цього він
перевіряє наявність в пам'яті процесу з
ім'ям "MSBLAST.EXE", примусово
припиняє його роботу, а також видаляє з
диска однойменний файл. далі Welchia
сканує системний реєстр Windows для
перевірки встановлених оновлень. В
випадку, якщо оновлення, що закриває
вразливість в DCOM RPC, не встановлено, черв'як
ініціює процедуру його завантаження з сайту
Microsoft, запускає на виконання і, після
успішної установки, перевантажує комп'ютер.
Після проведеної чистки вірус
самознищується.
У "Лабораторії" відзначають, що вже
Зараз поширення Welchia досягло
глобальних масштабів (цікаво, чи не
задумка це Microsoft. ). При збереженні цієї
тенденції можна вважати, що протягом
тижні черв'як зможе повністю погасити
епідемію Blaster.
Поділися новиною з друзями: