Опасность: червь Welchia подменяет собой Blaster'а

для раздела Новости Software
Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям :). На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster!

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

  • Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
  • Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы. 
  • Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).
  • Несанкционированная перезагрузка может привести к потере данных.

Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec:

... и устранить наконец-то указанные уязвимости, скачав обновления с Windows Update!

Telegram-канал @overclockers_news - это удобный способ следить за новыми материалами на сайте. С картинками, расширенными описаниями и без рекламы.
Оценитe материал
рейтинг: 4.0 из 5
голосов: 1

Сейчас обсуждают