Być może niedługo na stronach z alertami wirusowymi pojawi się rozróżnienie na „dobre” i „złe” robaki. W Internecie pojawił się bowiem nowy wirus, nazywany WORM_MSBLAST.D, Nachi lub Welchia. Jego działanie polega na usunięciu z zainfekowanych komputerów niesławnego Blastera i pobraniu z Internetu patcha, łatającego lukę w zabezpieczeniach Windowsa. (więcej poniżej)
Pojawienie się „dobrego” wirusa budzi zrozumiały niepokój specjalistów. Choć korzyści płynące z jego działań są oczywiste, to WORM_MSBLAST.D stawia człowieka w roli bezwolnego świadka potyczek programów. Pojawienie się robaka to także precedens, który może prowadzić do pewnego rodzaju zapętlenia – przecież jutro mogą pojawić się nowe robaki, walczące z wirusem naprawiajacym szkody po poprzednim wirusie... Nie mówiąc o ruchu, jaki WORM_MSBLAST.D generuje w Sieci. Tak przynajmniej twierdzą eksperci. Zdanie zwykłych Internautów jest jednak inne. Pojawiają się doniesienia o rozentuzjazmowanych użytkownikach, którzy „złapali” nowego robaka i od tej pory ich system działa poprawnie.
„Pomiędzy awarią prądu i atakiem wirusa w zeszłym tygodniu, mój komputer był w kiepskim stanie. Teraz najwyraźniej został wyleczony. Ten robak działa lepiej niż Windows Update. Po prostu pojawił się i załatwił sprawę, bez wysiłku i zamieszania” – powiedział reporterowi magazynu “Wired” Paul Pacifico, sprzedawca z Brooklynu.
MSBlaster to jedna z największych plag, jaka spadła na Internet w ostatnich miesiącach. Pierwszy raz został wykryty 11 sierpnia i według statystyk Symanteca w ciągu pierwszych 5 dni zainfekował ponad 423 tys. systemów. Choć nie zawiera procedur destrukcyjnych, jest uciążliwy dla użytkowników, ponieważ nieustannie restartuje system. “Upiekło” się za to Microsoftowi, którego stronę miały zaatakować 16 sierpnia wszystkie komputery zarażone Blasterem (atak typu Denial of Service, polegający na nieustannym wysyłaniu zapytań na serwer). Twórca wirusa pomylił się i w kodzie robaka umieścił adres URL do strony windowsupdate.com, która w rzeczywistości tylko przekierowuje użytkownika na właściwy adres - windowsupdate.microsoft.com. 14 sierpnia Microsoft odłączył domenę windowsupdate.com, efektywnie blokując atak.
