俄罗斯著名反病毒厂商Kaspersky Labs警报用户,新的互联网蠕虫病毒Welchia显身,Welchia搜寻网络中已感染Lovesan(又称Blaster)的计算机,并设法清除他们并将打上相关补丁。
Welchia属于攻击性的病毒,它会与系统争夺控制权。类似的有影响力病毒出现在2001年9月的 CodeBlue 病毒,它会搜寻感染 CodeRed 蠕虫病毒的计算机并设法清除它们。
Welchia与 Lovesan 病毒一样都利用的DCOM RPC漏洞,但是Welchia还使用IIS 5.0的 WebDAV 漏洞。它利用135(DCOM漏洞利用端口),80(WebDAV漏洞利用端口)发起攻击,一旦感染计算机,它将下载传递文件并在Windows系统目录WINS下复制DLLHOST.EXE病毒文件,自动开启WINS Client服务。
该病毒植入后,它会清除Lovesan病毒,做法是结束MSBLAST.EXE进程,并删除MSBLAST.EXE文件。 然后Welchia扫描Windows系统注册表查找是否已安装补丁包,如果未安装,它会开启下载进程,一旦下载成功并安装完毕,计算机重启。
Welchia已在世界范围内传播,在一周的时间会减少Lovesan病毒的感染。然后,我们始终要强调没有无害的病毒,Kaspersky Labs公共关系部负责人Denis Zenkin说,"看似有用的、无害的病毒是不可能替代防病毒软件的"。他强调,"Lovesan病毒爆发期间造成的互联网连通性能急剧下降似乎给某些人带来了灵感,鼓舞他们创造了Welchia病毒,被动地使用户卷入病毒之间的恶性竞争的行为,是应该遭到谴责的。"(完)
