Червь «Lovesan»: клин клином вышибают

Алексей Григорьев

≡ Клин | архивная статья | 20.08.2003 00:04

Во вторник «Лаборатория Касперского» сообщила об обнаружении нового сетевого червя «Welchia», который ищет компьютеры, зараженные червем «Lovesan» (или «Blaster»). Новый «антивирусный вирус» принадлежит к разряду интернет-червей, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры.

«Welchia» проводит заражение подобно червю «Lovesan», а именно — через бреши в системе безопасности. Однако, в отличие от него, «Welchia» атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0. Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 и 80. В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис «WINS Client».

После этого червь «Welchia» начинает процедуру нейтрализации «Lovesan». Для этого он проверяет наличие в памяти процесса с именем «MSBLAST.EXE», принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее он сканирует системный реестр Windows для проверки установленных обновлений. Если таковых не находится, «Welchia» инициирует процедуру загрузки апдейтов с сайта Microsoft, запускает их на выполнение и, после успешной установки, перегружает компьютер. Наконец, в «антивирусном вирусе» существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас специалисты по антивирусной безопасности сходится во мнении, что в течение недели червь «Welchia», распространение которого на данный момент достигло глобальных масштабов, сможет полностью погасить эпидемию «Lovesan».

«Приходится констатировать, что и в интернете работает пословица „Клин клином вышибают“. Оказывается, самый эффективный способ борьбы с вирусом — вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, — комментирует Денис Зенкин, руководитель информационной службы „Лаборатории Касперского“. — Жаль, если в будущем Сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей».

комментарии(0)

разделы: Клин