Внимание! Новая волна LoveSan: червь "патчит" компьютеры и использует две уязвимости операционных систем Windows

[19.08.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" сообщает о появлении новой разновидности червя LoveSan.based, несущего в себе весьма любопытные функции. Новый интернет-червь, известный также под именами W32/Nachi.worm и W32.Welchia.Worm, способен распространяться, используя все ту же уязвимость DCOM RPC операционных систем MS Windows NT/XP/2000 и Microsoft Windows 2003 Server, что и его грозный предшественник. Однако на этот раз червь не ограничивается закачиванием самого себя на уязвимый компьютер. В меню этой вредоносной программы появился "общественно полезный труд".

Антивирусом Dr.Web^® червь определяется, как Win32.HLLW.LoveSan.2.

Вы не успели установить патч? Мы сделаем это за Вас!

Заразив уязвимый (непропатченный компьютер), червь стремится, как и раньше, скачать свои программные модули с компьютера, который он уже успел заразить. Однако затем начинается самое интересное. Червь предпринимает попытку скачать с сайта компании Microsoft патч, устраняющий вышеупомянутую уязвимость, и если ему это удается, он перезапускает компьютер, чтобы завершить процесс установки патча. При этом червь ищет запущенный процесс msblast.exe и останавливает его, а сам файл с таким именем удаляет с диска. После этого он начинает жить обычной жизнью - сканирует сеть в поисках уязвимых компьютеров и направляет либо запрос по порту 135, используя уязвимость DCOM RPC, либо по порту 80, используя другую уязвимость - WebDav, и пытается заслать себя на эти компьютеры. Логично предположить, что со временем сеть, куда проник новый вариант червя LoveSan.based, будет состоять только из пропатченных компьютеров, но при этом будет являться источником заражения других компьютеров во всемирной сети.

Последствия такой деятельности вируса не замедлили сказаться. Избыточный трафик, вызванный "полезной" деятельностью червя, привел к перегрузке компьютерных сетей и отказу в обслуживании серверов системы регистрации пассажиров и центра телефонного обслуживания пассажиров авиакомпании Air Canada. В аэропорту Торонто у регистрационных стоек выстроились громадные очереди отбывающих пассажиров. Посадочные талоны выписывались в другом терминале, а служащие авиакомпании вручную сортировали билеты в алфавитном порядке.

Также новый Lovesun атаковал несколько компьютеров службы аварийного реагирования Онтарио, приходящей в себя после энергетического коллапса прошлой недели, когда в темноту погрузились 8 американских штатов и канадская провинция Онтарио.

Основным признаком заражения компьютера новым вариантом червя Win32.HLLW.LoveSan.2 является наличие в системной директории Windows файла dllhost.exe размером 10240 байт. Внимание! В Windows 2000/XP имеется системный файл с этим же именем, но другого размера.