Abo
  • Services:
Anzeige

Worm Wars - Der Krieg der Würmer

Nachi-Wurm nutzt RPC-Sicherheitsleck zur Bekämpfung des ersten Blaster-Wurms

Wie etliche Hersteller von Antivirenlösungen übereinstimmend berichten, verbreitet sich ein weiterer Wurm explosionsartig seit Montagnacht, welcher die gleiche Sicherheitslücke wie Blaster respektive Lovsan nutzt. Als besonderer Clou bekämpft dieser Wurm den originalen Blaster-Wurm, indem er diesen vom befallenen System entfernt und den Patch von Microsofts Website lädt, um die RPC-Sicherheitslücke zu schließen. Trotz dieses "gutmütigen" Verhaltens bewerten alle Antivirenhersteller den Wurm als Schädling, da er ohne Befugnis das System verändert und für entsprechenden Netzwerkverkehr sorgt.

Anzeige

Der aktuelle Wurm trägt unter anderem die Bezeichnungen Nachi, Welchia und Lovsan.D; im Folgenden gilt die Bezeichnung Nachi. Der Schädling sucht auf dem TCP-Port 135 nach verwundbaren Windows-Systemen im Internet. Alternativ sendet der Wurm Daten über den TCP-Port 80, um das im März 2003 entdeckte WebDAV-Sicherheitsloch zur Verbreitung zu nutzen. Über das RPC-Leck greift der Wurm nur Maschinen mit Windows XP an, während über die WebDAV-Lücke sowohl Systeme mit Windows 2000 als auch XP attackiert werden.

Auf einem Rechner kopiert sich der Wurm mit dem Dateinamen Dllhost.exe in das System-Verzeichnis von Windows in den Ordner "Wins", wobei die Datei eine Größe von 10.240 Byte aufweist. Eine Datei mit identischer Bezeichnung gehört auch zu den Systemdateien von Windows-Betriebssystemen, wobei die Originaldatei an anderer Stelle auf der Festplatte residiert und deutlich kleiner ist. Nachi deaktiviert nun den originalen Blaster-Dienst und löscht die Wurm-Datei Msblast.exe. Nach der Entdeckung vom Blaster-Wurm tauchten weitere Varianten des Schädlings auf, die sich aber weniger stark verbreiten konnten. Dies gilt jedoch nicht für Nachi, der bereits nach kurzer Zeit eine enorm starke Verbreitung erreichte.

Anschließend überprüft der Nachi-Wurm das installierte Betriebssystem und ruft die betreffenden Webseiten bei Microsoft auf, um den RPC-Patch auf den Rechner zu laden und zu installieren. Dabei werden die englischen, chinesischen und koreanischen Sprachversionen des Patches geladen; deutschsprachige Patches gelangen so nicht auf das System. Danach führt der Wurm einen Neustart aus, um die Patch-Installation abzuschließen. Auf einem befallenen System lauscht der Nachi-Wurm auf einem TCP-Port zwischen 666 und 765 via Remote-Shell auf Instruktionen, um sich auf andere Systeme verbreiten zu können. Mit dem Beginn des Jahres 2004 stellt der Wurm seine Aktivitäten selbstständig ein und entfernt sich vom betreffenden Rechner.

Nachdem der Nachi-Wurm am Montagnacht mit seiner Verbreitung begann, haben die Hersteller von Antiviren-Software mittlerweile ihre Virensignaturen aktualisiert, so dass der Wurm erkannt wird.


eye home zur Startseite
Bill Gates 14. Mai 2004

Ich bezeichne den Wurm als sehr nützlich. man könnte ihn ja umschreiben dass er...

Hashmanz 14. Mai 2004

bla bla bla

force 12. Sep 2003

allerdings frage ich mich schon weshalb winzigweich sein betriebssystem mit riesigen...

lutin 21. Aug 2003

In Kanada hat angeblich eine Variante des Wurms unter anderem die Air Canada-Check-In...

TranceaverMX 20. Aug 2003

Es wäre auch möglich, daß ich Magermix aus Milch und Joghurt trinke %) Tu ich aber nich...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Lausitz Energie Bergbau AG, Cottbus
  3. Kassenzahnärztliche Vereinigung Bayerns (KZVB), München
  4. operational services GmbH & Co. KG, München/Ottobrunn


Anzeige
Spiele-Angebote
  1. 57,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 1,49€
  3. 47,99€

Folgen Sie uns
       

  1. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  2. Forum

    Reddit bietet native Unterstützung von Videos

  3. Biomimetik

    Drohne landet kontrolliert an senkrechter Wand

  4. Schifffahrt

    Yara Birkeland wird der erste autonome E-Frachter

  5. Erste Tests

    Autonome Rollstühle in Krankenhäusern und Flughäfen erprobt

  6. Firmware

    PS4 verbessert Verwaltung von Familien und Freunden

  7. Galaxy Note 4

    Samsung trägt keine Verantwortung für überhitzte Akkus

  8. Nach Anschlag in Charlottesville

    Nazis raus - aber nur aus PR-Gründen

  9. Hilton Digital Key im Kurztest

    Wenn das iPhone die Hoteltür öffnet

  10. Smartphone

    Essential Phone kommt mit zwei Monaten Verspätung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  2. Grafikkarte Radeon RX Vega 64 kostet 500 US-Dollar
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: in ganz Ostdeutschland gibt es ganze 2 Orte...

    triplekiller | 12:56

  2. Re: And die Golem Kommentar Experten mal wieder...

    chewbacca0815 | 12:56

  3. Re: Terroranschlag gegen linke Demonstranten

    der_wahre_hannes | 12:56

  4. Re: Alt-Right = Nazi

    Dino13 | 12:55

  5. so ein akku auto ist auch nicht gerade co2 frei

    triplekiller | 12:55


  1. 12:55

  2. 12:37

  3. 12:30

  4. 12:00

  5. 11:17

  6. 10:44

  7. 10:00

  8. 09:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel