Платим блогерам
Редакция
Новости Software fin

реклама

Слава и недостатки червя w32.blaster.worm (LoveSan) не дают покоя конкурирующим вирусописателям :). На просторы интернета вышел новый червь Welchia, использующий ту же уязвимость DCOM RPC... для устранения червя Blaster!

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

реклама

Не стоит однако, обольщаться на "дружественный" характер нового Welchia и надеяться на "автоматическое" устранение им Blaster'а, так как червь не был бы червем, если бы не нес в себе вредоносную компоненту. Итак:

  • Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).
  • Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы. 
  • Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).
  • Несанкционированная перезагрузка может привести к потере данных.

Лаборатория Касперского сообщает, что эпидемия нового червя достигла глобальных масштабов и к концу недели червь Blaster будет полностью вытеснен новым Welchia.

Для удаления червя рекомендуется скачать небольшую бесплатную утилиту от Symantec:

  • FixWelch (164 КБ, Windows 9x/Me/NT/2000/2003).
  • Описание утилиты

... и устранить наконец-то указанные уязвимости, скачав обновления с Windows Update!

Популярные статьи

Сейчас обсуждают