Guter Virus

“Nachi” löscht Virus und installiert Updates

Wie der Viren-Spezialist Sophos meldet, ist ein neuer Wurm im Internet unterwegs – der erste gute Virus! Der W32/Nachi-A genannte Schmarotzer versucht den seit letzter Woche kursierenden Wurm W32/Blaster-A zu stoppen, indem er Sicherheitslöcher stopft.

Genauso wie Blaster verbreitet sich Nachi überdie Schwachstelle von Windows und verbreitet sich über einenTFTP-Server. Wenn der Wurm ausgeführt wird, kopiert er sichin das System und erstellt neue Windows-Dienste. Nachi durchsuchtdann das Netzwerk nach Computern, auf denen er die RPC DCOM Schwachstelleausnutzen kann. Wenn er erfolgreich ist, kopiert der Wurm dieWurmdateien von dem Ausgangssystem. Ist das System infiziert,versucht Nachi Sicherheitspatches von den Microsoft Update-Websitesherunterzuladen. Das funktioniert jedoch nur bei chinesischen,koreanischen sowie englisch Windows-Systemen. Danach versuchtNachi das System neu zu starten. Nachi nistet sich auch auf Systemenein, die nicht von Blaster angegriffen wurden. Am 1. Januar 2004soll er sich selbst vom System löschen. 
 
Achtung: Neuer Wurm "Sobig" verbreitet sich
MessageLabs, weltweit führender Managed ServiceProvider, der sich auf Sicherheitsdienstleistungen im E-Mail-Bereichspezialisiert hat, hat Kopien eines neuen Mass-Mailing-Virus mitdem Namen W32/Sobig.F-mm abgefangen. Die ersten betroffenen Mailsstammten, wie schon bei den ersten Varianten des Sobig-Virus,aus den USA. Ersten Analysen zufolge handelt es sich bei Sobig.Fum einen Mass-Mailer, der sich unerwartet schnell verbreitet.Die Absender-Adresse ist meist falsch und spiegelt somit nichtdie wahre Identität des Senders wieder. Die E-Mail kann folgendenAufbau haben:  
 
Betreff: Re: Details Nachrichtentext: Pleasesee attached file for details. Attachment: your_document.pif,details.pif, your_details.pif, thank_you.pif, movie0045.pif,document_Fall.pif, application.pif, document_9446.pif