Велчия - Welchia

Велчия, также известный как "Червь начи", это компьютерный червь который использует уязвимость в Microsoft удаленный вызов процедур (RPC) сервис, аналогичный Бластерный червь. Однако, в отличие от Blaster, он сначала ищет и удаляет Blaster, если он существует, а затем пытается загрузить и установить безопасность патчи из Microsoft который может предотвратить дальнейшее заражение Blaster, поэтому он классифицируется как полезный червь. Welchia удалось удалить Blaster, но Microsoft утверждала, что не всегда успешно применяла исправление безопасности.[1]

Этот червь заражал системы, эксплуатируя уязвимости в системном коде Microsoft Windows (TFTPD.EXE и TCP на портах 666–765, и переполнение буфера RPC на порте 135). Его метод заражения - создать удаленную оболочку и дать системе команду загрузить червя с помощью TFTP.EXE. В частности, червь Welchia нацелился на машины под управлением Windows XP. Червь использовал ICMP, а в некоторых случаях сети переполнялись трафиком ICMP, достаточным для возникновения проблем.[2]

Попав в систему, червь исправляет уязвимость, которую он использовал для получения доступа (тем самым фактически защищая систему от других попыток использования того же метода вторжения), и запускает свою полезную нагрузку - серию исправлений Microsoft. Затем он пытается удалить Blaster Worm удалив MSBLAST.EXE. Если червь все еще находится в системе, он запрограммирован на самоудаление 1 января 2004 г. или после 120 дней обработки, в зависимости от того, что произойдет раньше.

В сентябре 2003 года червь был обнаружен в компьютерной сети Госдепартамента США, в результате чего они отключили свою сеть на 9 часов для исправления.[3]

Смотрите также

Рекомендации

  1. ^ Брансфорд, Джин (18 декабря 2003 г.). "Велчийский червь". Сертификат Global Information Assurance. Институт SANS. Получено 2018-11-03.
  2. ^ Нарайн, Райан (19 августа 2003 г.). "'Дружелюбный "Велчийский червь, сеющий хаос". InternetNews.com. Получено 2018-11-03.
  3. ^ Лаботт, Элиза (24 сентября 2003 г.). "'Червь Welchia "поражает сеть Госдепартамента США". CNN. Получено 2018-11-03.

внешняя ссылка