Ein neuer Wurm namens W32/Nachi-A (W32/Nachi.worm, WORM_MSBLAST.D) ist aufgetaucht, der gegen den seit letzter Woche kursierenden Wurm W32/Blaster-A arbeitet. Das meldet der Anti-Viren-Spezialist Sophos http://www.sophos.de . Wie Blaster verbreitet sich Nachi über die RPC DCOM Schwachstelle von Windows. Nachi verwendet zwei Dateien: dllhost.exe, der die Hauptkomponente des Wurms ist, und svchost.exe, den Standard TFTP-Server, den der Wurm nur zum Übertragen von einem Ausgangsrechner auf einen Zielrechner verwendet.
Wenn der Wurm ausgeführt wird, kopiert er sich in das System und erstellt neue Windows-Dienste. Nachi durchsucht dann das Netzwerk nach Computern, auf denen er die RPC DCOM Schwachstelle ausnutzen kann. Wenn er erfolgreich ist, kopiert der Wurm die Wurmdateien von dem Ausgangssystem. Ist das System infiziert, versucht Nachi Sicherheitspatches von den Microsoft Update-Websites herunterzuladen. Dabei verwendet er eine je nach Sprache des Betriebssystems entsprechende URL. Allerdings ist die Liste der Updates auf Sprachen wie Chinesisch oder Koreanisch sowie Englisch beschränkt. Nach dem Download des Sicherheitspatch versucht Nachi das System neu zu starten.
Nachi nistet sich allerdings auch auf Systemen ein, die nicht von Blaster angegriffen wurden. Vor allem in Asien verbreitet sich der Wurm momentan sehr schnell. Nachi ist so programmiert, dass er sich am 1. Januar 2004 selbst vom System löscht.*(
pte)
Navigation
Neuer Wurm bekämpft Blaster - Nachi verbreitet sich über die gleiche Windows-Schwachstelle
Linear-Darstellung
