Клин клином! "Welchia" - антивирусный вирус

Компьютеры, программы, периферия, коммуникации, интернет, программирование и т.п. Ранее назывался Hard-n-Soft.
Сообщение
Автор
Знакомый***
Аватара пользователя

№ 0 Сообщение Знакомый*** » 20 авг 2003 12:04

"Welchia": антивирусный вирус [19.08.2003]

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, сообщает об обнаружении нового сетевого червя "Welchia", который ищет компьютеры, зараженные "Lovesan" ("Blaster"), лечит их и устанавливает заплатку для Windows. Служба круглосуточной технической поддержки компании уже зарегистрировала многочисленные инциденты, вызванные данной вредоносной программой.

"Welchia" принадлежит к разряду вирусов, несущих определенную гуманитарную функцию. Они атакуют компьютер, проникают в систему, но не наносят какого-либо вреда. Наоборот, они удаляют другие вредоносные программы и иммунизируют компьютеры. Наиболее известный пример подобного вируса был зарегистрирован в сентябре 2001 г.: тогда сетевой червь "CodeBlue" искал в интернете компьютеры, зараженные другим червем, "CodeRed", и лечил их.

"Welchia" проводит заражение подобно червю "Lovesan": через бреши в системе безопасности. Однако, в отличие от него, "Welchia" атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует интернет, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV). В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис "WINS Client".

После этого "Welchia" начинает процедуру нейтрализации червя "Lovesan". Для этого он проверяет наличие в памяти процесса с именем "MSBLAST.EXE", принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее "Welchia" сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер.

Наконец, в "Welchia" существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.

Уже сейчас распространение "Welchia" достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию "Lovesan".

"Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского", - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей".
Вернуться к началу
Mikis
Благодарил (а): 4 раза

№ 1 Сообщение Mikis » 20 авг 2003 12:44

Ну и дела...
Вернуться к началу
АксолотльPink
Аватара пользователя

№ 2 Сообщение АксолотльPink » 20 авг 2003 15:40

Вы представляете, до чего дошла подлость вирусописак? Новый вирус внедряется к вам на компьютер, убивает Лавсан и ставит вам необходимую заплатку под Windows, которую вы ленились скачать. После чего вирус через некоторые время самоуничтожается.

Что это такое вообще? Это что за Тимур и его команда? Скоро нас, пользователей, вообще можно будет за людей не считать. Одни вирусы будут, как и раньше, пакостить, другие станут с ними бороться, третьи от нашего имени начнут писать какие-нибудь письма протеста и рассылать их во всякие протестные организации, а четвертые, внедряясь на компьютеры, будут лазить по порносайтам и играть в игрушки. И все, мы никому не нужны. Вот так и настанет то самое ВОССТАНИЕ ПРОГРАММ, о котором так долго предупреждал Терминатор, который не станет губернатором Калифорнии.
Это комментарии Экслера в последнем обзоре :rotate:
http://exler.ru/reviews/20-08-03.htm
Вернуться к началу
ХЗ
Экономный
Благодарил (а): 158 раз
Поблагодарили: 347 раз

№ 3 Сообщение ХЗ » 20 авг 2003 17:36

Думается мне, что это просто шняга, или очередной вирусняк......
Вернуться к началу
Avatar

№ 4 Сообщение Avatar » 21 авг 2003 09:34

Нет ну почему, Symantec подтверждает что этот червь пытается убить Бластер, но там (на официальном сайте) есть еще такая инфа: "Уязвимые машины Windows 2000 испытают неустойчивость системы из-за крушения RPC сервиса". (перевод дословный).
Вернуться к началу
Splinter
Аватара пользователя
Не грузин
Благодарил (а): 91 раз
Поблагодарили: 487 раз

№ 5 Сообщение Splinter » 25 авг 2003 12:48

А потом напишут вирус, убивайющий антивирусный вирус и Касперский снова создат антивирус для вируса, убивающего антивирусный вирус... Брррр, голова кругом...

ЗЫ. А Экслер - молодец!
Вернуться к началу

Вернуться в «Компьютерный форум»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей