Kurz nach WannaCry gab es einen weiteren Wurm, der den ExternalRocks-Exploit zur Verbreitung über die SMBv1-Schwachstelle nutzte. Der Wurm ist jetzt aber vom Entwickler wohl deaktiviert worden.
Anzeige
Der EternalRocks SMB-Wurm
Die EternalRocks SMB Worm genannte Software war vor einigen Tagen durch den kroatischen Sicherheitsspezialisten Miroslav Stampar entdeckt worden. Ich hatte diesen Wurm im Blog-Beitrag WannaCry: Meist ungepatchte Windows 7 Systeme befallen mit angesprochen.
Der Wurm nutzte insgesamt sieben Sicherheitslücken aus dem Arsenal der NSA-Exploits, um Windows-Systeme zu befallen, verbreitete aber keinerlei Schadsoftware. Auf Grund der vielen Exploits, die der Wurm verwendete, war das Verbreitungspotential aber höher als bei WannaCry.
Arbeit eingestellt
Nachdem über den EternalRocks SMB-Wurm berichtet wurde, und Sicherheitsfirmen sich auf dessen Techniken fokussierten, hat dessen Entwickler mit dem Alias tmc diesen wohl stillgelegt. Bleeping Computer berichtet hier über den Fall. Bereits am 24. Mai 2017 stellte Miroslav Stampar fest, dass die C&C-Server, die der Wurm kontaktierte, den Zugriff verweigerte. Auf der Startseite erschien der Hinweis, dass der Zugriff geblockt worden sei.
(Quelle: Bleeping Computer)
In einem internen Forum, welches tmc betreibt, schreibt er, dass EternalRocks keine Malware, sondern eine Firewall sei, die einen weiteren Befall durch Malware auf den infizierten Maschinen verhindern soll. Nun lädt der Wurm nur noch eine Dummy-Installationsdatei herunter, die keine weitere Verbreitung des Wurm von infizierten Maschinen mehr ermöglicht. Lediglich auf Maschinen, die mit älteren Versionen des Wurms infiziert wurden, scannt dieser das Netz nach weiteren infizierbaren Systemen.
Ähnliche Artikel:
Sicherheitsinfos (20. August 2016)
Shadow Browker: Geleakte NSA-Tools weitgehend unwirksam
Shadow Broker Leak: NSA hat Banken über SWIFT gehackt
WikiLeaks enthüllt CIA Windows Spyware Framework Athena
Ransomware WannaCry befällt tausende Computer weltweit
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCrypt-Zwischenruf: Wir müssen reden …
NSA-Software: Hundertausende Systeme infiziert
Adylkuzz: Mining-Trojaner im Schatten von WannaCry
SMB Zero-Day-Sicherheitslücke in Windows 8.1/10/Server
2015
Nebenbei … Erinnert sich noch jemand an den "Conficker"-Wurm, der anno 2009 für Aufregung sorgte und abertausende von Arbeitsplatzrechnern lahmlegte (u.a. bei der Bundeswehr)? Ich hatte den vor zwei Monaten auf einem Rechner eines Bekannten gefunden, der zuvor um 2014 in einer öffentlichen Behörde eingerichtet wurde. Möglicherweise war der PC bereits Teil eines heimlichen Botnetzes ("Storm") geworden, leider konnte ich damals den erhöhten Traffic nicht darauf untersuchen, weil ich zu wenig Ahnung davon hatte. Conficker scheint nun wieder in die Top Ten der Malwarewürmer aufgestiegen zu sein, es könnte also nicht schaden, ab und an ein Auge darauf zuwerfen, wenn im Netzwerk mal wieder ungewöhnlicher Traffic zu beobachten ist (Online-Test der Uni Bonn).