Neuer Wurm bekämpft Blaster

Viren

Win neuer Wurm namens W32/Nachi-A (W32/Nachi.worm, WORM_MSBLAST.D) ist aufgetaucht,
der gegen
den seit letzter Woche kursierenden Wurm W32/Blaster-A arbeitet. Das meldet
der Anti-Viren-Spezialist Sophos http://www.sophos.de
. Wie Blaster verbreitet sich Nachi über die RPC DCOM Schwachstelle von

Windows. Nachi verwendet zwei Dateien: dllhost.exe, der die Hauptkomponente
des Wurms ist, und svchost.exe, den Standard TFTP-Server, den der Wurm nur zum
Übertragen von einem Ausgangsrechner auf einen Zielrechner verwendet.

Wenn der Wurm ausgeführt wird, kopiert er sich in das System und erstellt
neue Windows-Dienste. Nachi durchsucht dann das Netzwerk nach Computern,
auf denen er die RPC DCOM Schwachstelle ausnutzen kann. Wenn er
erfolgreich ist, kopiert der Wurm die Wurmdateien von dem Ausgangssystem.
Ist das System infiziert, versucht Nachi Sicherheitspatches von den
Microsoft Update-Websites herunterzuladen. Dabei verwendet er eine je
nach Sprache des Betriebssystems entsprechende URL. Allerdings ist die
Liste der Updates auf Sprachen wie Chinesisch oder Koreanisch sowie
Englisch beschränkt. Nach dem Download des Sicherheitspatch versucht
Nachi das System neu zu starten.

Nachi nistet sich allerdings auch auf Systemen ein, die nicht von Blaster
angegriffen wurden. Vor allem in Asien verbreitet sich der Wurm momentan
sehr schnell. Nachi ist so programmiert, dass er sich am 1. Januar 2004
selbst vom System löscht.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.