“Лаборатория Касперского» сообщила об обнаружении нового сетевого червя “Welchia”, который ищет компьютеры, зараженные “Lovesan” (“Blaster”), лечит их и устанавливает патч для Windows. “Welchia” принадлежит к разряду вирусов, не несущих никаких негативных функций. Вирус проводит заражение подобно червю “Lovesan”: через бреши в системе безопасности. Однако, в отличие от него, “Welchia” атакует не только уязвимость в службе DCOM RPC, но также брешь WebDAV в системе IIS 5.0 (специальное программное обеспечение для управления web-серверами). Для проникновения на компьютеры червь сканирует сеть, находит жертву и проводит атаку по портам 135 (через брешь в DCOM RPC) и 80 (через брешь WebDAV).

В ходе атаки он пересылает на компьютер свой файл-носитель, устанавливает его в системе под именем DLLHOST.EXE в подкаталоге WINS системного каталога Windows и создает сервис “WINS Client”. После этого “Welchia” проверяет наличие в памяти процесса с именем “MSBLAST.EXE”, принудительно прекращает его работу, а также удаляет с диска одноименный файл. Далее “Welchia” сканирует системный реестр Windows для проверки установленных обновлений.

В случае если обновление, закрывающее уязвимость в DCOM RPC не установлено, червь инициирует процедуру его загрузки с сайта Microsoft, запускает на выполнение и, после успешной установки, перегружает компьютер. Наконец, в “Welchia” существует механизм самоуничтожения. Червь проверяет системную дату компьютера и, если текущий год равен 2004, удаляет себя из системы.