В Рунете появился лечебный вирус

ibshmar

«Лаборатория Касперского» обнаружила нового сетевого червя Welchia, который ищет компьютеры, зараженные нашумевшим вирусом Lovesan (Blaster лечит их и устанавливает заплатку для Windows. Welchia настолько быстро распространяется по интернету, что, по мнению специалистов, уже в течение недели сможет полностью погасить эпидемию Lovesan. Оказывается, самый эффективный способ борьбы с вирусом - вирус, - считает Денис Зенкин, руководитель информационной службы «Лаборатории Касперского».
Welchia принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь CodeBlue искал в интернете компьютеры, зараженные другим червем, CodeRed, и лечил их.
Welchia проводит заражение подобно червю Lovesan: через бреши в системе безопасности. Однако, в отличие от него, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе программного обеспечения для управления веб-серверами IIS 5.0. Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.
После этого Welchia начинает процедуру нейтрализации червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. Наконец, в Welchia существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.
Уже сейчас распространение Welchia достигло глобальных масштабов. Служба круглосуточной технической поддержки «Лаборатории Касперского» зарегистрировала многочисленные инциденты, вызванные данной программой.
http://www.cnews.ru/newtop/index.shtml?2003/08/19/147581

evolution

Красота! В лучшем стиле книжек по фантастике: в глобальной сети бродят вирусы, борятся друг с другом. Для уничтожения одного вируса был запущен другой вирус!

Vera1959

Во-во, а потом у них появится интеллект, и всем компам мира придет конец.

Zver22

Вирусы подчинят себе человечество, и какой-нибудь сетевой Касперский будет решать проблему СПИДа среди людей.

lodanap

Так это ж довольно старая игра, еще времен СССР, вроде...

kliM

ха! а если MSBlast попал по локалке на комп неподключенный к инету?..

lerikvalerik

ну я его на дискете с работы принес
Специальна

SO-RO-KA-

почитай описание, у него много шансов обломаться с установкой апдейта, не только по этой причине

kliM

угу, места на винте для апдейта может не хватить
Оставить комментарий
Имя или ник:
Комментарий: