IMHO.WS - Арестован автор вируса Lovesan

http://www.dni.ru/news/web/2003/8/29/25914.html

В США арестован 18-летний молодой человек, обвиняемый в создании вируса Lovesan. Предполагается, что в пятницу ему будут придъявлены обвинения. Различные версии этого вируса поразили около 500 тысяч компьютеров во всем мире. "Червь" использовал брешь в операционной системе Windows, и вредоносное его действие заключалось в неконтролируемой и частой перезагрузке компьютера.

Как Дни.Ру писали ранее, Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение.

"Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast.

//////////////////////////////////////////////////////////////////

Новый вирус излечивает от Lovesan

Во вторник был обнаружен новый вирус - "червь", получивший название Welchia. Его действие не разрушающее, как у большинства вирусов, а лечебное: Welchia ищет в сети компьютеры, зараженные "червем" Lovesan, лечит их и устанавливает обновление операционной системы. Welchia, так же как и Lovesan, проникает в компьютеры, используя брешь в системе безопасности.

В отличие от Lovesan, Welchia атакует не только уязвимость в службе удаленного доступа к файлам DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления веб-серверами), - сообщает "Лаборатория Касперского". "Червь" сканирует интернет, находит жертву, проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV) и проникает на компьютер. В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис WINS Client.

Далее Welchia удаляет червя Lovesan. Для этого он проверяет наличие в памяти процесса с именем MSBLAST.EXE, принудительно прекращает его работу, а также удаляет с диска одноименный файл. После этого Welchia сканирует системный реестр Windows для проверки установленных обновлений. В случае, если обновление, закрывающее уязвимость в DCOM RPC, не установлено, червь начинает его загрузку с сайта Microsoft, запускает на выполнение и перегружает компьютер после успешной установки.

Помимо этого, Welchia проверяет системную дату компьютера и, если текущий год равен 2004, сам удаляет себя из системы.

Распространение Welchia достигло глобальных масштабов. При сохранении этой тенденции можно считать, что в течение недели червь сможет полностью погасить эпидемию Lovesan.

"Приходится констатировать, что и в интернете работает пословица "Клин клином вышибают". Оказывается, самый эффективный способ борьбы с вирусом - вирус. Во время последней эпидемии многие пользователи проявили полное безразличие к защите своих компьютеров, из-за чего интернет снова оказался под угрозой паралича, - сказал Денис Зенкин, руководитель информационной службы "Лаборатории Касперского". - Жаль, если в будущем сеть превратится в арену ожесточенной битвы вирусов, безнаказанно заражающих компьютеры под молчаливое согласие безразличных пользователей".

/////////////////////////////////////////////////////////////////

"Червь" использует обнаруженную месяц назад брешь в операционной системе Windows версий NT 4.0, 2000, XP и Server 2003. Не все пользователи успели установить себе "заплатку" с сайта Microsoft Update, этим и объясняется высокая скорость его распространения. "Червь" не причиняет ущерб зараженному компьютеру. До 16 августа он только сканирует сеть, в которую проник.

Брешь была обнаружена в службе DCOM RPC, - сообщает "Лаборатория Касперского". Эта служба осуществляет общий доступ к файлам в локальной сети.

Специалисты по сетевой безопасности предупреждают, что этот "червь" может проникнуть в десятки тысяч компьютеров. Компания Symantec уже заявила о том, что MSBlast уже проник на 57 тысяч машин, - добавляет BBC.

По данным компании Network Associates, пользователи зараженных компьютеров отмечают, что скорость соединения с интернетом становится гораздо ниже.

Lovesan сканирует интернет в поисках уязвимых компьютеров. Для этого он "ощупывает" 135 порт потенциальных жертв и проверяет возможность проведения атаки. В положительном случае (если не установлено соответствующее обновление Windows) червь закачивает на компьютер файл MSBLAST.EXE. Этот файл заносится в автозагрузку и запускается на выполнение.

"Червь" заражает компьютеры таким образом, что они не могут обратиться к сайту Microsoft Update, на котором можно скачать программы для защиты от MSBlast.

Программа также имеет функцию DDoS-атаки на сайт windowsupdate.com, на котором находятся обновления операционной системы Windows, в том числе обновление для службы DCOM RPC. Функция активизируется 16 августа: ожидается, что в этот день сайт подвергнется массированной бомбардировке пакетами данных с зараженных компьютеров, в результате чего он может стать недоступным.

В коде "червя" обнаружены два послания. В одном содержится вопрос: "Билли Гейтс, почему ты это допустил? Хватит делать деньги, иди и почини свое программное обеспечение". В другом - признание: "Я просто хотел сказать, что ЛЮБЛЮ ВАС, SAN".