19 sierpnia 2003

Welchia - walczy z robakiem Lovesan

Informujemy o pojawieniu się nowego robaka internetowego - Welchia. Szkodnik ten szuka komputerów zainfekowanych wirusem Lovesan (aka Blaster), leczy je i instaluje łatę usuwającą lukę w protokole RPC.

Welchia należy do rodziny wirusów "pożytecznych", które pomagają użytkownikom. Szkodniki takie infekują komputery lecz nie wyrządzają żadnych szkód, wręcz przeciwnie - usuwają inne szkodliwe programy i zabezpieczają systemy.

Welchia dostaje się do atakowanych komputerów za pośrednictwem luki w zabezpieczeniach protokołu RPC (identycznie jak Lovesan) oraz luki WebDAV w serwerze IIS. Szkodnik szuka aktywnych komputerów i atakuje poprzez port 135 oraz 80.

Po zidentyfikowaniu komputera podatnego na atak wirus umieszcza na nim swoją kopię i rejestruje się jako DLLHOST.EXE w podkatalogu WINS folderu systemowego Windows.

Po zakończeniu instalacji robak uruchamia procedurę usuwającą z systemu wirusa Lovesan. Welchia szuka pliku MSBLAST.EXE, przerywa jego działanie i usuwa go. Następnie wirus skanuje foldery systemowe w poszukiwaniu pobranych łat. Jeżeli łata usuwająca lukę w protokole RPC nie została jeszcze zainstalowana, szkodnik rozpoczyna proces jej pobierania, a następnie instaluje łatę i uruchamia ponownie komputer.

Welchia rozprzestrzenia się coraz szybciej. Eksperci z firmy Kaspersky Lab szacują, że prawdopodobnie w ciągu tygodnia szkodnik całkowicie wyeliminuje robaka Lovesan.

Sygnatury robaka Welchia zostały dodane do antywirusowych baz danych programu Kaspersky Anti-Virus.

Szczegółowy opis robaka znajduje się tutaj.