19 Августа 2003 14:08 19 Авг 2003 14:08 |

Поделиться

В Рунете появился лечебный вирус

Welchia проводит заражение подобно червю Lovesan: через бреши в системе безопасности. Однако, в отличие от него, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе программного обеспечения для управления веб-серверами IIS 5.0. Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.

После этого Welchia начинает процедуру нейтрализации червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. Наконец, в Welchia существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Фарид Нигматуллин, «ВидеоМатрикс»: У видеоаналитики в промышленности большие возможности

Цифровизация

Уже сейчас распространение Welchia достигло глобальных масштабов. Служба круглосуточной технической поддержки «Лаборатории Касперского» зарегистрировала многочисленные инциденты, вызванные данной программой.

Источник: по материалам «Лаборатории Касперского».

Поделиться

Подписаться на новости Короткая ссылка