В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.
Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:
Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.
Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec:
... и устранить наконец-то указанные уязвимости, скачав обновления с Windows Update!