Вот ещё по этому поводу:Возможно, пользователей Интернета в ближайшее время ждет новый виток хакерских атак, предупреждают американские специалисты по борьбе с компьютерными преступлениями. По их словам, сейчас хакеры всей планеты собираются с силами, чтобы нанести решительный удар по мирным пользователям известной своими "глюками" операционной системы Windows. В первую очередь опасность грозит тем, у кого на компьютерах установлена система из семейства Windows NT.
Неисправность была обнаружена совсем недавно в протоколе RPC, который отвечает за удаленный доступ к компьютеру. Представители Microsoft признают, что подобная "дырка" в защите операционной системы позволит разным недобросовестным киберманьякам получить практически полный доступ к компьютеру. Специалисты же из Министерства национальной безопасности США утверждают, что хакеры за последние несколько дней создали и протестировали новую утилиту, позволяющую использовать недоработку "операционки".
Чтобы избежать пагубных последствий хакерской атаки, достаточно установить себе "заплатку" к операционной системе. Здесь, по мнению специалистов в области компьютерной безопасности, труднее всего придется системным администраторам крупных компаний - за короткий период времени им нужно успеть защитить от взлома сотни, а иногда и тысячи компьютеров.
По словам экспертов, больше всего следует бояться появления во Всемирной паутине какой-нибудь доселе невиданной версии компьютерного "червя". Такие вирусы смогут за несколько минут заразить множество компьютеров по всему миру на радость компьютерным хулиганам всех мастей. Кстати, такие вирусы могут быть опасны даже при наличии патча к Windows, так что далеко не лишним будет обновление своей антивирусной программы.
Worm.Win32.Welchia
Вирус-червь. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе DCOM RPC Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS03-026.
Кроме этого червь пытается заразить компьютеры, на которых установлен Microsoft IIS 5.0, используя для этого уязвимость в WebDav, описание которой приведено в Microsoft Security Bulletin MS03-007.
Червь написан на языке Visual C++. Имеет размер около 10КB (10240 байт), упакован UPX. Размножается в виде набора из двух файлов с именами dllhost.exe и svchost.exe.
Содержит текстовые строки:
I love my wife & baby :-)
~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)
~~ sorry zhongli~~~
Инсталляция
При запуске червь копирует себя с именем dllhost.exe в каталог %System%\wins, после чего создает сервис с именем WINS Client. Туда же червь копирует файл tftpd.exe из каталога %System%\dllcache, с именем svchost.exe и создает сервис с именем Network Connections Sharing.
В результате этих действий червь будет получать управление и исполняться при каждом запуске Windows.
Удаление червя Lovesan
Червь проверяет наличие в памяти процесса с именем msblast.exe, который принадлежит червю Lovesan, и принудительно прекращает его работу. Также он ищет на диске файл msblast.exe и удаляет его.
Загрузка обновлений для Windows
Червь проверяет системный реестр Windows на наличие информации об установленных патчах и сервисных паках для Windows, и в том случае если патч закрывающий уязвимость в DCOM не установлен, запускает процедуру загрузки данного патча с сайта download.microsoft.com. После того как требуемый патч загружен и установлен, червь перезагружает компьютер.
Размножение
Червь использует два способа выбора IP-адресов для заражения. В первом варианте он использует из текущего адреса два первых значения A и B и начинает сканирование сетей с A.B.0.0, последовательно перебирая все вышестоящие адреса. Во втором случае адрес выбирается произвольно.
Червь формирует два разных запроса для отправки на удаленные машины. Первый запрос содержит в себе эксплойт уязвимости WebDAV, второй - эксплойт DCOM RPC практически полностью идентичный тому, что был использован в сетевом черве Lovesan.
Червь выбирает IP-адрес, отсылает на него ICMP запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки (при помощи tftp) себя с зараженной машины.
Далее проверяет наличие на удаленной машине файла tftpd.exe и если такой не обнаружен, то загружает его туда (в виде файла svchost.exe) в каталог %System%\wins.
Прочее
Если текущий год равен 2004, то червь удаляет себя из системы и прекращает свою работу.
Besser jetzt als durch die Stunde