| Время детектирования | 29 фев 2004 01:53 MSK |
| Время выпуска обновления | 29 фев 2004 01:53 MSK |
| Описание опубликовано | 12 фев 2004 12:00 MSK |
Кроме этого червь пытается заразить компьютеры, на которых установлен Microsoft IIS 5.0, используя для этого уязвимость в WebDav, описание которой приведено в другом Microsoft Security Bulletin.
Червь написан на языке Visual C++. Имеет размер около 12KB (12800 байт), упакован UPX.
Данный вариант Welchia пытается обнаружить на компьютере червей Mydoom.a и Mydoom.b и удалить их из системы.
System Security Remote Routing Performance Network License Internet
Logging Manager Procedure Accounts Event
Provider Sharing Messaging ClientТаким образом, имя службы может быть, например "Remote Accounts Client" или "System Logging Provider".
Червь создает уникальный идентификатор "WksPatch_Mutex" для определения своего присутствия в памяти.
%System%\ctfmon.dll %System%\Explorer.exe %System%\shimgapi.dll %System%\TaskMon.exeТакже он удаляет ключ taskmon из ключа автозапуска системного реестра и перезаписывает файл hosts своими данными (аналогичными принятыми по умолчанию в Windows).
Червь выбирает IP-адрес, отсылает на него ICMP-запрос и ждет ответа. Если удаленный компьютер ответил, червь устанавливает с ним соединение по 135 порту (аналогично Lovesan) или на 80 порт (если на удаленной машине используется IIS) и отсылает подготовленный пакет, содержащий команды для загрузки себя с зараженной машины.
shtml shtm stm cgi php html htm aspв каталогах соответствующих IIS, и если кодовая страница зараженной системы установлена на японский язык, перезаписывает найденные файлы следующим текстом:
LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future !Червь прекратит свою работу 1 июня 2004 года.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях.
Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы).
Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение.
Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
Net-Worm.