“Kaspersky Labs” (http://www.kaspersky.com) pranešė aptikusi internete virusą, kuris ieško “Blaster” kirminu užkrėstų kompiuterių, juos išgydo ir parsiuntęs įdiegia “Microsoft” pateiktą šios saugumo spragos ištaisymą.
“Welchia” pavadintas naujasis virusas į kompiuterį patenka pasinaudojęs tokiomis pat saugumo spragomis, kaip ir “Blaster”, tačiau, priešingai nei jis, atakuoja ne tik nuotolinio procedūrų iškvietimo “Windows NT” šeimos OS tarnybą DCOM RPC, bet ir “IIS 5.0” sistemoje esančią “WebDAV” spragą.
Atakos metu “Welchia” persiunčia į kompiuterį savo instaliacinį failą (DLLHOST.EXE), įdiegia jį “Windows” sisteminio katalogo WINS pakatalogyje ir sukuria “WINS Client” paslaugą.
Tada virusas imasi “Blaster” kirmino nukenksminimo procedūros: ieško atmintyje “MSBLAST.EXE” veiklos požymių, priverstinai ją nutraukia ir pašalina iš disko šio pavadinimo failą. Tada skenuojamas sistemos registras ieškant įdiegtų OS atnaujinimų. Jei aptinkama, kad DCOM RPC klaidą ištaisantis “lopas” nėra įdiegtas, virusas pradeda jo atsisiuntimo iš “Microsoft” svetainės procedūrą, po to jį įdiegia ir perkrauna kompiuterį. Atlikęs kompiuterio valymo darbus “Welchia” susinaikina.
“Kaspersky Labs” tvirtina, kad virusas sanitaras taip sparčiai plinta, kad gali per savaitę “užgesinti” “Blaster” sukeltą epidemiją, jeigu jo dauginimosi tempai išliks nepakitę.
