Добрые самаритяне запустили полезного червя

Обнаружен новый компьютерный вирус, который, в отличие от своих "коллег", не калечит компьютер, а чинит его. Червь Welchia ищет компьютеры, зараженные Lovesan (Blaster), лечит их и устанавливает заплатку для Windows. Уже зарегистрировано множество инцидентов, связанных с этим неожиданным подарком судьбы.

Welchia настолько быстро распространяется по Интернету, что, по мнению специалистов, уже в течение недели сможет полностью погасить эпидемию Lovesan. Оказывается, самый эффективный способ борьбы с вирусом - вирус, - считает Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".

Как сообщает интернет-издание Membrana, Welchia проводит заражение подобно червю Lovesan: через бреши в системе безопасности. Однако, в отличие от него, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0.

Для проникновения в компьютеры червь сканирует Интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.

После этого Welchia начинает процедуру нейтрализации червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл.

Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. И еще одна приятная особенность полезного червя: у него есть механизм самоуничтожения. Если вам лень его удалить самим, он любезно сдохнет сам в 2004 году.