prev
Welchia проникает в компьютер, как и Blaster, через бреши в системе безопасности. Однако, в отличие от него, вирус атакует не только уязвимость в службе DCOM RPC (удаленный вызов процедур в операционных системах семейства Windows NT), но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис «WINS Client», рассказали в антивирусной компании…
После этого Welchia начинает процедуру нейтрализации червя Blaster. Для этого он проверяет наличие в памяти процесса с именем «MSBLAST.EXE», принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. После проведенной чистки вирус самоуничтожается.
В «Лаборатории» отмечают, что уже сейчас распространение Welchia достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию Blaster.
Стоит отметить, что это уже не первый случай, когда в сети появляется вирус, направленный на борьбу с другим вирусом. Например, в сентябре 2001 г. был зарегистрирован сетевой червь CodeBlue, который искал в интернете компьютеры, зараженные другим червем, CodeRed, и лечил их.
19 августа 2003 года, 14:10; текст: Дмитрий Мурашёв