Wurm jagt Wurm [Update]

Eine neue Version von W32.Blaster/LovSAN macht Jagd auf das Original und versucht, diesen zu löschen und das befallene System zu sichern.

In Pocket speichern vorlesen Druckansicht 426 Kommentare lesen
Lesezeit: 2 Min.

Der Antiviren-Firma TrendMicro zufolge ist seit dem 18.8. im Internet eine neue Version des Wurms W32.Blaster/LovSAN unterwegs. Sie nutzt zwar die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber auch eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem befallenen Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die Wurmdatei msblast.exe und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und macht sich auf die Jagd nach weiteren Opfern. Zu Beginn des Jahres 2004 hat der Spuk dann ein Ende; der Wurm entfernt sich selbst von den befallenen Systemen. Eine echte Schadroutine hat er laut TrendMicro nicht.

Der offenbar gut gemeinte Wurm dürfte Anlass zu heftigen Debatten über die Legitimität eines solchen Vorgehens geben. Der Anti-Viren-Hersteller Trend Micro hat jedoch seine Entscheidung schon getroffen: Da der Wurm ohne Einverständnis des Benutzers agiert, wird er als Schädling klassifiziert und von der Anti-Viren-Software gestoppt beziehungsweise entfernt. Ähnlich sehen das offenbar auch Network Associates und Symantec, die ebenfalls entsprechende Updates ihrer Software und Virensignaturen bereitstellen.

Wer ein deutsches Windows XP verwendet, sollte keinesfalls auf die "Heilungskräfte" des neuen Wurms spekulieren: In TrendMicros Liste der Patches, deren Adresse der Wurm enthält, findet sich kein deutscher. Der beste Schutz ist nach wie vor, die Patches von Microsoft selbst zu installieren. Siehe dazu auch:

Update: Network Asscoiates stuft den Wurm nicht als Variante von W32.Blaster/LovSAN ein. Der von NAI W32/Nachi.worm getaufte neue Wurm unterscheide sich grundsätzlich von W32.Blaster. So attackiere Nachi Windows-2000-Rechner auch über eine bekannte Schwachstelle in WebDAV (MS03-007). In ersten Stellungnahmen meinte NAI, Nachis RPC/DCOM-Exploit würde auf Windows-2000-Systemen nicht funktionieren. NAI hat diese Analyse aber mittlerweile revidiert. Symantec führt den Wurm unter dem Namen W32.Welchia.Worm. (ju)