Nachi Wurm behebt Blaster Schäden - aber kein Virus ist ein guter Virus

August 19, 2003 Sophos Press Release

Gerade einmal eine Woche, nachdem Blaster Hunderttausende Computer weltweit verseucht hat, warnt Sophos vor dem neuen Nachi Wurm (W32/Nachi-A) - auch bekannt als Welchia oder Welchi. In einer bizzaren Verkehrung beschreitet der Nachi Wurm den entgegengesetzten Weg zum Blaster: Er entfernt nicht nur den Blaster Wurm, sondern schließt bei den PCs die noch bestehende Microsoft-Sicherheitslücke, um eine erneute Blaster-Infektion zu verhindern.

Auf die gleiche Art und Weise wie Blaster macht sich Nachi die Microsoft-Schwachstelle zu Nutze und sucht im Internet nach ungesicherten Rechnern. Sobald der Wurm einen PC ohne Sicherheits-Patch aufgespürt hat, schleust er sich ungefragt ein und sucht nach Spuren des Blaster Wurms. Hat er Blaster erst einmal gefunden, versucht das Schadprogramm, die Infektion zu entfernen und das nötige Patch gegen die Microsoft- Sicherheitslücke herunterzuladen.

"Der Autor des Nachi Wurms mag vielleicht gern als Dirty Harry der Internetwelt gelten, indem er sein Programm die Blaster-Schäden ringsherum aufräumen lässt", sagt Gernot Hacker, Senior Technical Consultant bei Sophos. "Trotzdem ist kein Computervirus ein guter Virus. Systeme zu verseuchen, um sie zu desinfizieren und zu sichern, ist keine verantwortungsbewusste Art, mit dem Problem umzugehen. Der Wurm kann leicht außer Kontrolle geraten und unerwarteten Schaden verursachen. Der sicherste Weg ist immer noch der, dass die Computernutzer die Schwachstelle im Microsoft Betriebssystem mit einem Patch beheben und ihren Virenschutz auf dem aktuellsten Stand halten."

Der Virenschreiber gibt Hinweise darauf, dass er ein echter Familienmensch ist: Im Code des Wurms ist der Text "I love my wife & baby :)" eingearbeitet.

Weitere Informationen über den Nachi Wurm finden Sie in der Virenanalyse.

Für einen Patch gegen die aktuelle Microsoft-Schwäche besuchen Sie MS03-026.

Hinweise, Patches und einen Virenscan für Heimanwender von Microsoft Windows finden Sie unter http://windowsupdate.microsoft.com.