Der ‘gute’ Wurm: Nachi, der Rächer der Infizierten

EnterpriseSicherheit

Die neue Variante Nachi-B hat es auf die  beiden MyDoom-Varianten A und B abgesehen.

Ein neuer Wurm macht das Internet unsicher. Die neue Variante Nachi-B hat es auf die  beiden MyDoom-Varianten A und B abgesehen. Nachi versucht diese Würmer auf infizierten Rechnern zu beseitigen und lädt von der Microsoft-Seite das entsprechende Sicherheitsupdate herunter. So vermutet die britische Sicherheitsfirma ‘Sophos’, dass sich der Autor des Wurmes wahrscheinlich für eine Art Robin Hood des Internets sieht.
Doch auch dieser Wurm kann Schaden anrichten. Nachi nützt die selbe Sicherheitslücke aus, die auch schon dem Blaster-Wurm zur Verbreitung gedient hat. “Tatsache ist jedoch, es gibt keine guten Viren”, erklärt Gernot Hacker, Senior Consultant bei Sophos. “Nachi-B infiziert unerlaubt ungeschützte Computer, stiehlt Rechenzeit, Bandbreiten in Netzwerken und Platz auf der Festplatte. Außerdem verändert er das Setup und die Daten des Computers. Problematisch ist dabei auch, dass selbst ein ‘braver Wurm’ schnell außer Kontrolle geraten und unabsichtlich Konflikte verursachen kann.” 

Bisher habe der Wurm nur sehr wenige Computer infiziert und ist nicht so kritisch wie seine Vorgänger. Aber er hat auch eine politische Botschaft. Der Wurm platziert ein HTML-Dokument mit dem Titel “Lass die Geschichte die Zukunft voraussagen” in der Windows System-Datei. Darin sind verschiedene historische Daten aus dem Zweiten Weltkrieg aufgelistet, die den Konflikt zwischen Japan und China betreffen.

Der Vorgänger-Wurm Nachi-A tauchte bereits im Sommer letzten Jahres auf und versuchte, den Blaster-Wurm zu eliminieren, richtete aber auch immense Schäden in Unternehmensnetzen an. Diese Malware war die drittschlimmste des zurückliegenden Jahres und bereitete manchem Admin mehr Kopfschmerzen als der Blaster selbst. So überschreibt beziehungsweise löscht der Wurm zum Beispiel die HOSTS-Datei. Mit dieser Datei könne in Unix-Netzen Hostnamen in IP-Adressen aufgelöst werden. Diese Dateien haben mit den DNS-Servern viel an Bedeutung verloren, werden aber noch bei bestimmten Anwendungen und zu Testzwecken eingesetzt.

“Der erste Nachi war ein missgeleiteter Versuch, den MS-Blast zu identifizieren und ihn zu löschen. Diese Variante scheint den Versuch darzustellen, in irgend einer Weise Rache an Japan zu üben”, erklärte Joe Telafici von Network Associates. “Wir glauben daher, dass er von jemandem in China oder von einem Chinesen geschrieben wurde.”

Der Virus werde sich am 1. Juli selbst löschen, aber auf Systemen mit einem japanischen Microsoft-Betriebssystem wird der Wurm aktiv bleiben. Auf dem HTML-Dokument werden einige Eckdaten des zweiten Weltkrieges aufgelistet, unter anderem die beiden Atombombenabwürfe auf Japan in Hiroschima und Nagasaki und das Datum der Kapitulation Japans gegenüber den USA, das das Ende des zweiten Weltkrieges im Pazifik markierte, sowie den Rückzug Japans aus Südkorea. Darunter wieder der Satz: “Lass die Geschichte die Zukunft voraussagen”. Die Sicherheitsfirma vermutet, dass sich der Wurm auf Länder mit politischen Konflikten mit den USA bezieht. Dennoch ist scheinbar kein eindeutiges Motiv für dieses Dokument auszumachen.