Nach Blaster nun Nachi . Der Robin Hood Virus
Erläuterung
W32/Nachi-B ist ein Wurm, der Dateien entfernt, die mit den Würmern W32/MyDoom-A und W32/MyDoom-B in Zusammenhang stehen.
W32/Nachi-B verbreitet sich, indem er folgende Microsoft-Schwachstellen ausnutzt:
- Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) Schwachstelle
Microsoft hat am 16. Juli 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter
http://www.microsoft.com/technet/se...in/MS03-026.asp zur Verfügung.
- WebDAV Schwachstelle und IIS5/WEBDAV Buffer Overrun Schwachstelle
Microsoft hat am 17. März 2003 ein Patch für die von diesem Wurm ausgenutzte Schwachstelle bereitgestellt. Das Patch steht unter
http://www.microsoft.com/technet/se...in/MS03-007.asp zur Verfügung.
Wenn er ausgeführt wird, kopiert sich der Wurm in den Unterordner "Drivers" im Windows Systemordner, wobei er den Dateinamen svchost.exe verwendet. Der Wurm versucht außerdem, einige der folgenden Microsoft Patches herunterzuladen und auszuführen:
http://download.microsoft.com/downl...035-x86-CHS.exe
http://download.microsoft.com/downl...035-x86-KOR.exe
http://download.microsoft.com/downl...035-x86-ENU.exe
http://download.microsoft.com/downl...749-x86-CHS.exe
http://download.microsoft.com/downl...749-x86-KOR.exe
http://download.microsoft.com/downl...749-x86-ENU.exe
W32/Nachi-B sucht alle zwanzig Minuten nach einer Verbindung zum Internet, um zu versuchen sich mit microsoft.com, intel.com oder google.com zu verbinden. Außerdem versucht er, zufällig gewählte IP-Adressen zu infizieren, sofern die Verbindung erfolgreich war.
W32/Nachi-B will deinstalliert sich ab Juni 2004.
W32/Nachi-B kann Dateien mit den Erweiterungen SHTML, SHTM, STM, CGI, PHP, HTML, HTM und ASP mit einer HTML-Datei überschreiben, die folgenden Text enthält:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
Achtung . Worm verbreitet sich rasend im Internet. Sofort aktuelle Patches saugen. Achtung auch keine Firewall nützt !