19.08.2003, 07:45
Zitat:Muenchen (vp) – Das SANS Institut, eine Firma die sich mit Sicherheits-Analysen beschaeftigt, hat offenbar einen neuen Wurm entdeckt, der wie der "Blaster"-Wurm den RPC-Bug ausnutzt. Im "Internet StormCenter" des SANS Institut, einer Seite bei der auffaelliger Internet-Verkehr protokolliert wird, wird deswegen seit einiger Zeit ein erhoehtes Aufkommen von ICMP-Datenpaketen gemessen.
Neuer Wurm bekaempft Blaster
Im Gegensatz zu "Blaster" scheint allerdings der neue Wurm intelligenter programmiert zu sein. Es handelt sich vermutlich um den Wurm "Nachi", dessen Analyse derzeit noch im Gange ist. Sicher ist derzeit nur, dass der neue Wurm nach der Datei "msblast.exe" sucht und diese loescht, nicht aber den dazu gehoerigen Registry-Eintrag entfernt. Um sich vor anderen Wuermern zu schuetzen, installiert "Nachi" das DCOM-RPC-Update, dass die Sicherheitsluecke schliesst.
Virenanalyse noch im Gange
Vermutlich installiert der Wurm auch eine Backdoor, die Hackern spaeter Zugriff auf das System erlaubt. Network Associates und andere Viren-Analysten untersuchen derzeit noch den genauen Aufbau und die Funktionsweise des neuen Wurms. Aktuelle Virenkiller mit einem Update von heute koennen den Wurm bereits entfernen. Wichtig ist allerdings, dass das Windows-Sicherheitsupdate bereits installiert wurde. Anderfalls kann das System erneut infiziert werden.
Info: www.sans.org