EternalRocks SMB-Wurm stellt Verbreitung ein

Kurz nach WannaCry gab es einen weiteren Wurm, der den ExternalRocks-Exploit zur Verbreitung über die SMBv1-Schwachstelle nutzte. Der Wurm ist jetzt aber vom Entwickler wohl deaktiviert worden.


Anzeige

Der EternalRocks SMB-Wurm

Die EternalRocks SMB Worm genannte Software war vor einigen Tagen durch den kroatischen Sicherheitsspezialisten Miroslav Stampar entdeckt worden. Ich hatte diesen Wurm im Blog-Beitrag WannaCry: Meist ungepatchte Windows 7 Systeme befallen mit angesprochen.

Der Wurm nutzte insgesamt sieben Sicherheitslücken aus dem Arsenal der NSA-Exploits, um Windows-Systeme zu befallen, verbreitete aber keinerlei Schadsoftware. Auf Grund der vielen Exploits, die der Wurm verwendete, war das Verbreitungspotential aber höher als bei WannaCry.

Arbeit eingestellt

Nachdem über den EternalRocks SMB-Wurm berichtet wurde, und Sicherheitsfirmen sich auf dessen Techniken fokussierten, hat dessen Entwickler mit dem Alias tmc diesen wohl stillgelegt. Bleeping Computer berichtet hier über den Fall. Bereits am 24. Mai 2017 stellte Miroslav Stampar fest, dass die C&C-Server, die der Wurm kontaktierte, den Zugriff verweigerte. Auf der Startseite erschien der Hinweis, dass der Zugriff geblockt worden sei.

EternalRocks-Message
(Quelle: Bleeping Computer)

In einem internen Forum, welches tmc betreibt, schreibt er, dass EternalRocks keine Malware, sondern eine Firewall sei, die einen weiteren Befall durch Malware auf den infizierten Maschinen verhindern soll. Nun lädt der Wurm nur noch eine Dummy-Installationsdatei herunter, die keine weitere Verbreitung des Wurm von infizierten Maschinen mehr ermöglicht. Lediglich auf Maschinen, die mit älteren Versionen des Wurms infiziert wurden, scannt dieser das Netz nach weiteren infizierbaren Systemen.

Ähnliche Artikel:
Sicherheitsinfos (20. August 2016)
Shadow Browker: Geleakte NSA-Tools weitgehend unwirksam
Shadow Broker Leak: NSA hat Banken über SWIFT gehackt
WikiLeaks enthüllt CIA Windows Spyware Framework Athena
Ransomware WannaCry befällt tausende Computer weltweit
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCrypt-Zwischenruf: Wir müssen reden …
NSA-Software: Hundertausende Systeme infiziert
Adylkuzz: Mining-Trojaner im Schatten von WannaCry
SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu EternalRocks SMB-Wurm stellt Verbreitung ein

  1. Kim O. Fee sagt:

    Nebenbei … Erinnert sich noch jemand an den "Conficker"-Wurm, der anno 2009 für Aufregung sorgte und abertausende von Arbeitsplatzrechnern lahmlegte (u.a. bei der Bundeswehr)? Ich hatte den vor zwei Monaten auf einem Rechner eines Bekannten gefunden, der zuvor um 2014 in einer öffentlichen Behörde eingerichtet wurde. Möglicherweise war der PC bereits Teil eines heimlichen Botnetzes ("Storm") geworden, leider konnte ich damals den erhöhten Traffic nicht darauf untersuchen, weil ich zu wenig Ahnung davon hatte. Conficker scheint nun wieder in die Top Ten der Malwarewürmer aufgestiegen zu sein, es könnte also nicht schaden, ab und an ein Auge darauf zuwerfen, wenn im Netzwerk mal wieder ungewöhnlicher Traffic zu beobachten ist (Online-Test der Uni Bonn).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.