Портал ISRAland - израильские новости

19.08.2003 | 11:18

В Интернете появилась новая разновидность червя LoveSan.based, несущего в себе весьма любопытные функции. Новый интернет-червь, известный также под именами W32/Nachi.worm и W32.Welchia.Worm, способен распространяться, используя все ту же уязвимость DCOM RPC операционных систем MS Windows NT/XP/2000 и Microsoft Windows 2003 Server, что и его грозный предшественник.

Однако на этот раз червь не ограничивается скачиванием самого себя на уязвимый компьютер. В меню этой вредоносной программы появился "общественно полезный труд".
Заразив уязвимый (непропатченный компьютер), червь стремится, как и раньше, скачать свои программные модули с компьютера, который он уже успел заразить. Однако затем начинается самое интересное. Червь предпринимает попытку скачать с сайта компании Microsoft патч, устраняющий вышеупомянутую уязвимость, и если ему это удается, он перезапускает компьютер, чтобы завершить процесс установки патча. При этом червь ищет запущенный процесс msblast.exe и останавливает его, а сам файл с таким именем удаляет с диска. После этого он начинает жить обычной жизнью - сканирует сеть в поисках уязвимых компьютеров и направляет либо запрос по порту 135, используя уязвимость DCOM RPC, либо по порту 80, используя другую уязвимость - WebDav, и пытается заслать себя на эти компьютеры. Логично предположить, что со временем сеть, куда проник новый вариант червя LoveSan.based, будет состоять только из пропатченных компьютеров, но при этом будет являться источником заражения других компьютеров во всемирной сети.

Основным признаком заражения компьютера новым вариантом червя LoveSan.based является наличие в системной директории Windows файла dllhost.exe размером 10240 байт. Внимание! В Windows 2000/XP имеется системный файл с этим же именем, но другого размера.

Читайте последние новости раздела "Технологии":
Израильский стартап Island открывает новый центр — после грандиозного успеха →
ЕС не даёт поблажек: закон об ИИ вступил в силу  →
Скоростные зарядки уже на пути в Израиль?  →
«Amazon»: работаем в нормальном режиме  →
Сервера легли…  →
«Google» инвестирует миллиарды в новый центр, но не в Израиле  →

Поделиться:

ДиалогНаука