Sophos Plc obavijestio nas je o novom crvu W32/Nachi-A za koji je primio više prijava otkrivanja. Qubis d.o.o. do sada je također primio veći broj dojava otkrivanja ovog crva u Hrvatskoj. Crva W32/Nachi-A prepoznavat će Sophos Anti-Virus za listopad 2003. (v.3.74). Instalacije svih korisnika koji koriste Enterprise Manager, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 18. kolovoza 2003., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja. Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/. VrstaWin32 crv AliasW32/Nachi.worm, WORM_MSBLAST.D, Lovsan.D, W32.Welchia.Worm, Welchi Način širenjaŠiri se korištenjem propusta opisanog u Microsoftovom biltenu MS03-026 (kao i crv W32/Blaster-A) koji je dostupan još od lipnja 2003., a prema nekim informacijama i MS03-007 (dostupan je gotovo 6 mjeseci). Aktivnosti / Simptomi / PosljedicePo pokretanju virus će kreirati datoteke: - %WindowsSystem%\Wins\dllhost.exe
- %WindowsSystem%\Wins\svchost.exe (kopija datoteke %WindowsSystem%\Dllcache\Tftpd.exe)
Može pokrenuti dva nova servisa: - RpcPatch ("Network Connections Sharing")
- RpcTftpd ("WINS Client")
Nakon toga će crv skenirati mrežu u potrazi za računalima koja nemaju primijenjene zakrpe MS03-026 i MS03-007 i kopirati se na ranjiva računala. Pokreće download zakrpe (koja sprečava širenje ovog crva) sa Microsoftovih servera i ako je uspješno obavljena obnova sustava resetira računalo. Provjerava da li je aktivan proces crva W32/Blaster-A - ako jest pokušava ga zaustaviti i ukloniti inficiranu datoteku. Uklanjanje - po potrebi onemogućite System restore ako ga OS podržava
- uklonite inficirano računalo s mreže
- primijenite navedene zakrpe (bez tog koraka nije moguće kvalitetno rješenje problema)
- pokrenite Sophosov program za uklanjanje ovog crva
- provjerite da li su uklonjene datoteke koje crv kreira
- provjerite da li su zaustavljeni servisi koje crv pokreće
- provjerite da li su uklonjene stavke iz registry-ja koje dodaje crv
- pokrenite Sophos Anti-Virus i skenirajte računalo
- po potrebi pokrenite System restore
Prema nekim podacima crv će sam sebe deaktivirati i ukloniti nakon 1. siječnja 2004.Zaštita od infekcije- primjena zakrpa za ranjivosti koje crv iskorištava (bez toga nije moguće čišćenje sustava)
- zatvaranje portova 135 i 80 tamo gdje nije potrebno da budu aktivni
Ostalo Još podataka možete pronaći na sljedećim stranicama: Sažetak svojstava | Širenje | | E-Mail | Q | | Network share | Q | | P2P | Q | | Ostalo | R | | Aktivnost | | Zaustavlja Sophos | Q | | Mijenja registry | Q | | Kreira / Mijenja datoteke | R | | Otvara backdoor | Q | | Otvara port | Q | | KeyLogging | Q | | Automatska obnova | Q | | Uklanjanje | | Čišćenje / Uklanjanje (DOS / Safe mode + Cmd prompt) | R | | Promjena registry-ja | Q | | Čišćenje datoteka | Q | | Uklanjanje datoteka | R | | Zaštita | | Zakrpa (MS03-007, MS03-026) | R | | Filtriranje sadržaja na proxy serveru | Q | | Vatrozid (port 135, 80) | R | | Poduka korisnika | R |
| 