Vírust irt és javítócsomagot telepít az új féreg

Tegnap egy új vírus bukkant fel az interneten. A hálózaton keresztül terjedő, egyebek mellett Welchia, Nachi, MSBlast.D és Lovsan.D néven ismert kórokozó meglepő módon nem kártékony, hanem hasznos rutint tartalmaz: a vírus eltávolítja az MSBlast/Lovsan férget és befoltozza azt a Windows XP és 2000 operációs rendszerekben található biztonsági rést, amelyen keresztül terjed.

A Network Associates AVERT vírusszakértői csoportjának diagnózisa szerint az új féreg nem az MSBlast/Lovsan egyik variánsa, ahogy korábban hitték, hanem önálló vírus, amely szintén a Microsoft NT alapú (Windows NT4, 2000, XP, 2003.NET) rendszerekben található RPC/DCOM (Windows Distributed Component Object Model Remote Procedure Call) szolgáltatás július közepe óta ismert súlyos biztonsági hibáját használja ki.

Aktiválás után a féreg, amennyiben van ilyen, felfüggeszti az MSBlast processz futását, majd törli az azt tartalmazó fájlt a számítógép merevlemezéről. Ezt követően a Microsoft Update honlapról megkísérli letölteni a sérülékenység befoltozására szolgáló javítócsomagot, és ha ez sikerül, telepíti azt, majd újraindítja a rendszert. A vírus 2004. január 1-jén leállítja futását és törli magát a rendszerről.

Hasonlóan az MSBlast/Lovsan féreghez, a Nachi/Welchia is hálózati kapcsolaton keresztül terjed, sajátos módszer szerint választva ki azokat az IP-címeket, melyeket célba vesz. A címek elérhetőségét a Ping parancs kiadásával ellenőrzi, ami a hálózati forgalom jelentős növekedését hozza magával.

A legtöbb vírusirtó program a legújabb vírusdefiníciós adatbázissal már képes felismerni és eltávolítani.