Nachi-B versucht sich in Schadensbegrenzung in Sachen MyDoom

Februar 12, 2004 Sophos Press Release

Die Virenexperten von Sophos warnen Computeranwender vor einer neuen Variante des Nachi Wurms (W32/Nachi-B). Das neu aufgetauchte Schadprogramm versucht, die beiden Würmer MyDoom-A und MyDoom-B auf bereits infizierten Computern zu beseitigen. Außerdem lädt Nachi-B die entsprechenden Sicherheitsupdates von Microsoft herunter.

Nachi-B profitiert von derselben Sicherheitslücke in Microsoft Windows, die schon der Blaster Wurm letztes Jahr ausgenutzt hat und sucht gezielt nach ungeschützten Rechnern. Einmal lokalisiert, infiziert Nachi-B den Computer, ohne den Anwender um Erlaubnis zu fragen, und sucht selbstständig nach Spuren des MyDoom Wurms. Sobald Nachi-B fündig wird, versucht er, den anderen Eindringling zu entfernen und das Microsoft Sicherheitspatch herunterzuladen, um die Windows-Schwachstelle zu beheben.

"Der Autor dieses Wurms mag vielleicht denken, er ist ein moderner Robin Hood. Tatsache ist jedoch: Es gibt keine guten Viren", meint Gernot Hacker, Senior Technology Consultant bei Sophos. "Nachi-B infiziert unerlaubt ungeschützte Computer, stiehlt Rechnerzeit, Bandbreite in den Netzwerken und Platz auf der Festplatte. Außerdem verändert er das Setup und die Daten des Computers. Problematisch dabei ist auch, dass so ein Wurm schnell außer Kontrolle geraten und unbeabsichtigte Konflikte verursachen kann."

Der Original Nachi Wurm (W32/Nachi-A) trat erstmals im August 2003 auf und versuchte, mit dem Blaster-A Wurm infizierte Computer zu säubern. Nachi-A entpuppte sich anschließend als Ursache für beträchtliche Schäden in vielen Unternehmen weltweit. Der Virus war der dritt-schlimmste Virus des gesamten letzten Jahres.

"Nachi-B nutzt eine Schwachstelle aus, für die letztes Jahr ein Patch bereit gestellt wurde. Es ist unerlässlich, dass Computernutzer die Sicherheitslöcher ihrer Microsoft-Software schließen und sicher gehen, dass ihre Antiviren-Software auf dem neuesten Stand ist", fährt Gernot Hacker fort.

Das Sicherheitspatch von Microsoft, das die Schwachstelle schließt, welche sowohl von dem Nachi- als auch dem Blaster-Wurm ausgenutzt wird, kann unter http://www.microsoft.com/technet/security/bulletin/MS03-026.asp heruntergeladen werden.

"Heimanwendern ist außerdem zu empfehlen, sich einmal das Service-Angebot von Microsoft auf der Website http://windowsupdate.microsoft.com anzusehen. Der eigene Rechner kann dort auf Sicherheitslücken gescannt werden und man erhält Tipps, welche Patches jeweils noch installiert werden müssten", ergänzt Gernot Hacker.