Blaster-Update: Krieg der Würmer ausgebrochen

In der Bugwelle des Blaster-Wurms, der seit zehn Tagen die IT weltweit in Atem hält, schwappen wie erwartet Abwandlungen und Mutationen der Malware in die Computersysteme von Unternehmen, Organisationen und Privatanwendern. Die neuste Variante, ‘Blaster-D’, ‘Welchia’ oder ‘Nachi’ getauft, hat allerdings eine ganz besondere Qualität: Die Malware sucht auf dem Zielrechner nach der ausführbaren Datei ‘msblast.exe’ und löscht sie. Danach lädt der neue Wurm wenn möglich den passenden Patch von Microsoft herunter und versucht diesen zu installieren – offenbar, um sich vor weiteren Würmern zu schützen, die ebenfalls die Schwachstelle im Windows-Dienst ‘Remote Procedure Call’ ausnutzen wollen.
Offenbar hatte der Autor dieser Blaster-Abwandlung edle Absichten – die Meinung der Antiviren-Experten ist dagegen eindeutig: Der Wurm ist Malware und sollte wie Blaster-A gestoppt werden. Trend Micro stuft Nachi ebenso wie Computer Associates oder Network Associates als ‘mittelschwere Bedrohung’ ein. Symantec dagegen packt den Wurm in Kategorie 4 seiner fünfteiligen Skala.

Während Blaster-D die gleichen Ports und Mechanismen wie Blaster-A verwendet, nennt er seine Installationsdatei nicht ‘msblast.exe’ sondern ‘mspatch.exe’. Den Registry-Eintrag seines Vorgängers kann Blaster-D/Nachi nicht ändern, heißt es beim Antiviren-Spezialisten Sophos. Statt dessen fügt er einen eigenen Eintrag hinzu: HKLMSoftwareMicrosoftWindowsCurrentVersionRunonNonton Antivirus

Nachi kann mit seiner mitgebrachten Liste zwar den Microsoft-Patch in der englischen, koreanischen oder chinesischen Sprachversion beschaffen – nicht aber die entsprechenden Updates für Installationen in Französisch, Spanisch oder Deutsch. Schon allein deshalb wäre ein Vertrauen auf den vermeintlichen Schädlingsbekämpfer für die deutschen Anwender unsinnig.

“Solche Würmer sind wirklich keine gute Idee”, meint denn auch Joe Hartmann, Antiviren-Forscher bei Trend Micro. “Das ist ein Wurm wie jeder andere auch, und letztendlich macht er mehr Probleme, als er uns aus dem Weg schafft.” “Manche mögen das ja für einen guten Wurm halten”, räumt Ken Dunham, ‘Malicious Code Intelligence Manager’ bei I-Defense. “Aber Blaster-D kann zu einer Vielzahl von Problemen führen, wenn Patches einfach ohne Wissen des Administrators auf seinen Systemen installiert werden.” Und Oliver Friedrichs von Symantecs ‘Security Response Center’ pflichtet den Kollegen bei, es sei einfach nicht in Ordnung, fremde Rechner zu befallen, Software zu installieren und den Computer daraufhin zu einem Reboot zu zwingen. “Das ist immer noch ein Angriff”, so Friedrichs.

Bezeichnend für die inzwischen leicht verworrene Lage ist indes aber, dass Trend Micro nach Angaben von Hartmann erst durch Kundenanfragen auf die Mutation aufmerksam wurde. “Unsere Kunden beklagten sich über ihre überlasteten Netzwerke. So haben wir davon erfahren.” Das amerikanische Sans-Institut stellte immerhin ein erhöhtes Aufkommen von ICMP-Paketen fest und schloss deshalb auf eine neue Aktivität einer Blaster-Abart.

Nachi beansprucht also bei der Suche nach weiteren Systemen, die mit Blaster-A infiziert sind, offenbar gehörig Bandbreite. Nach groben Schätzungen von Symantec sind inzwischen weltweit 570.000 Computer infiziert. Dabei ist allerdings völlig unklar, welcher Teil davon in den vergangenen Tagen durch den Patch nachträglich abgedichtet wurde. Zumindest eine Frage beantwortet der Code von Blaster-D/Nachi klar und eindeutig: Mit dem Jahreswechsel ist Schluss mit diesem Spuk. Eine korrekte Systemzeit vorausgesetzt, zerstört sich der Wurm am 1. Januar 2004 um 0.00 Uhr von selbst.