В Интернете зафиксировано массовое распространение сетевого червя Welchia, сообщает "Лаборатория Касперского". Welchia ищет компьютеры, зараженные вирусом LoveSan (Blaster), лечит их и устанавливает заплатку для Windows.

Новый червь относится к вредоносным программам с так называемой гуманитарной функцией. Такие вирусы атакуют компьютер, проникают в систему, но не наносят ей никакого вреда. Программы, подобные Welchia, удаляют другие вирусы и наделяют компьютеры своеого рода иммунитетом. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 года. Тогда сетевой червь CodeBlue искал в Интернете и лечил компьютеры, зараженные червем CodeRed.

При распространении Welchia использует механизм, аналогичный LoveSan - через бреши в системе безопасности. Однако, в отличие от LoveSan, Welchia атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует Интернет, находит объект атаки и проникает в него через порты 135 (брешь в DCOM RPC) и 80 (брешь WebDAV). При заражении Welchia пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем dllhost.exe в подкаталоге Wins системного каталога Windows и создает сервис Wins Client.

После установки в системе Welchia начинает процедуру нейтрализации червя LoveSan. Червь проверяет память компьютера на наличие процесса с именем msblast.exe, принудительно прекращает его работу, а также удаляет с диска одноименный файл. Затем Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае отсутствия обновления, закрывающего уязвимость в DCOM RPC, червь инициирует процедуру его загрузки с сайта Microsoft и после успешной установки перегружает компьютер. Наконец, в Welchia существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

При сохранении существующей тенденции распространения Welchia можно считать, что этот червь в течение недели сможет полностью погасить эпидемию LoveSan. "Жаль, если в будущем Сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей", - отметили сотрудники "Лаборатории Касперского", сообщает Lenta.Ru.