В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

• Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
• Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы. 
• Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).
• Несанкционированная перезагрузка может привести к потере данных.

Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec:

• FixWelch (164 КБ, Windows 9x/Me/NT/2000/2003).
• Описание утилиты

... и устранить наконец-то указанные уязвимости, скачав обновления с Windows Update!