Рунет атаковал уникальный вирус, который лечит компьютеры и ставит заплатки на Windows

"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster), лечит их и устанавливает заплатку для Windows.

Welchia настолько быстро распространяется по интернету, что, по мнению специалистов, уже в течение недели сможет полностью погасить эпидемию Lovesan.

Оказалось, что самый эффективный способ борьбы с вирусом - вирус, - считает Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".

Welchia принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры.

Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 года: тогда сетевой червь CodeBlue искал в интернете компьютеры, зараженные другим червем, CodeRed, и лечил их.

Welchia проводит заражение подобно червю Lovesan: через бреши в системе безопасности. Однако, в отличие от него, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе программного обеспечения для управления веб-серверами IIS 5.0. Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.

После этого Welchia начинает процедуру нейтрализации червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл.

Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.

Наконец, в Welchia существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас распространение Welchia достигло глобальных масштабов. Служба круглосуточной технической поддержки "Лаборатории Касперского" зарегистрировала многочисленные инциденты, вызванные данной программой, пишет CNews.Ru.