Nachi-Wurm versucht Schäden von MyDoom rückgängig zu machen

Februar 12, 2004 Sophos Press Release

Sophos-Experten warnen Computer-Anwender vor einer neuen Variante des Nachi-Wurms (W32/Nachi-B), die versucht, Infektionen von W32/MyDoom-A und W32/MyDoom-B rückgängig zu machen und Sicherheitspatches von Microsoft auf ungeschützte Computer herunterzuladen.

Nachi sucht nach nicht gepatchten Computern, wobei er dieselbe Sicherheitslücke von Microsoft Windows ausnutzt, die auch schon Blaster verwendet hat. Sobald der Wurm solche Computer findet, infiziert er sie ohne Einwilligung des Anwenders und sucht nach Spuren der MyDoom-Würmer. Wenn eine MyDoom-Infektion entdeckt wird, versucht der Nachi-B Wurm, diese Infektion zu entfernen und Patches für die Microsoft Sicherheitslücke herunterzuladen.

"Der Autor dieses Wurms fühlt sich vielleicht wie ein moderner Robin Hood, aber es gibt einfach keinen guten Virus", sagt Gernot Hacker, Senior Technical Consultant bei Sophos. "Nachi-B infiziert Computer ohne Erlaubnis, raubt Netzwerkbandbreite, CPU-Zeit und Festplattenspeicher und ändert das Setup sowie Daten des Computers. Ein Wurm kann sehr schnell außer Kontrolle geraten und zu nicht vorhersehbaren Konflikten führen. Es ist deshalb unerlässlich, dass Computer-Anwender Sicherheitslücken in Software von Microsoft durch Patches schließen und sicherstellen, dass ihr Virenschutz voll up-to-date ist."

Das Sicherheitspatch von Microsoft, das vor der Sicherheitslücke schützt, die von den Nachi- und Blaster-Würmern ausgenutzt wurde, wurde bereits im letzten Jahr veröffentlicht und kann unter www.microsoft.com/technet/security/bulletin/MS03-026.asp heruntergeladen werden.

Heimanwender von Microsoft Windows können ihre Systeme unter windowsupdate.microsoft.com auf Microsoft Sicherheitslücken überprüfen lassen.

Interessanterweise versucht der Nachi-B Wurm, einige Dateien mit einer HTML-Datei zu überschreiben, die Hinweise auf die im Zweiten Weltkrieg über Japan abgeworfenen Atombomben enthält:

  • LET HISTORY TELL FUTURE !
  • 1931.9.18
    1937.7.7
    1937.12.13 300,000 !
  • 1941.12.7
    1945.8.6 Little boy
    1945.8.9 Fatso
  • 1945.8.15
  • Let history tell future !

Der originale Nachi-Wurm ( W32/Nachi-A), erstmals aufgetreten im August 2003, hat versucht, Infektionen von Computern zu entfernen, die mit W32/Blaster-A infiziert waren. In der Folgezeit wurden Betriebsunterbrechungen in Unternehmen weltweit auf diesen Wurm zurückgeführt.