2003. augusztus 18. 23:00, Hétfő
Az AVERT, a Network Associates vírusszakértői csoportja mind a vállalati, mind az otthoni felhasználók számára gyakorisága miatt rögtön a "közepes" veszélyességi kategóriába sorolta Win32/Nachi féregvírust. A Win32/Lovsan vírus után ez egy ujabb internetes féreg, amely a MS03-026 sérülékenységet kihasználva támad. A vírus önálló féreg, nem a Lovsan variánsa.
A felhasználók a hálózatban megnövekedett ICMP forgalomból vehetik észre a fertőzést (a PING parancs az ICMP egyik legismertebb használója). A féreg DLLHOST.EXE néven installálja magát a C:\WINNT\SYSTEM32\WINS könyvtárba, a file hossza 10.240 byte. A file hossza azért különösen fontos, mert a Windows-ban egyébként is létezik egy teljesen normális rendszerfájl DLLHOST.EXE néven, azonban szemben a 12 kilobájtos féreggel, a normális file hossza mintegy 5-6 kilobájt.
A Win32/Nachi furcsaságaihoz tartozik, hogy mintegy "bestoppolja" maga után a likat, ahol érkezett, azaz letölt különböző Microsoft folt fájlokat, és igyekszik megszüntetni az MS03-026 Windows sérülékenységet. További érdekessége, hogy amikor a számítógép rendszerórája elérkezik 2004. január elsejéhez, a féreg kitörli saját magát a végrehajtás során.
További információk a Win32/Nachi féregről a http://vil.nai.com/vil/content/v_100559.htm címen találhatók. Az augusztus 18-án felfedezett Win32/Nachi vírust a McAfee 4286-os DAT fájlok és a 4.1.60-as kereső motor már felismeri és kezeli. A legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.mcafeeb2b.com/naicommon/download/dats/find.asp címen.
Informatika és tudomány