EternalRocks: WannaCry-Nachfolger nutzt viel mehr NSA-Exploits

Sicherheit, Malware, Virus Bildquelle: White Web Services
Das war natürlich zu erwarten: WannaCry ist nur der Anfang und Sicherheitsforscher haben inzwischen einen weiteren Wurm ausfindig gemacht, der sich rege an den öffentlich gewordenen NSA-Exploits bedient, um Rechner anzugreifen. "EternalRocks" wurde der neue Schädling getauft.
EternalRocks
Entdeckt wurde der Schädling Ende letzter Woche, als er in einem SMB-Honeypot des CERT der kroatischen Regierung aufschlug. WannaCry hatte ja ebenfalls auf einen Exploit gesetzt, der eine Verbreitung über SMB-Freigaben ermöglichte. EternalRocks verwendet nun aber gleich sechs solcher Lücken, die allesamt mit den Leaks von NSA-Interna öffentlich wurden, berichtet das US-Magazin BleepingComputer.

Für Attacken auf andere Systeme verwendet die neu entdeckte Malware unter anderem jene Exploits, die in den Dokumenten unter den Namen EternalBlue (die auch von WannaCry genutzt wurde), EternalChampion, EternalRomance und EternalSynergy geführt werden. Hinzu kommen zwei weitere Tools, die als SMBTouch und ArchiTouch bezeichnet werden. Und auch das von WannaCry genutzte DoublePulsar findet sich in EternalRocks wieder.

Komplexer, aber mit weniger Wucht

Der neu entdeckte Wurm ist damit zwar wesentlich komplexer, letztlich aber deutlich weniger gefährlich als die Ransomware, die in den letzten Tagen hunderttausende Rechner weltweit infizierte. Denn er führt nicht direkt eine Schadroutine mit, die den befallenen PC sofort lahmlegt. Das bedeutet aber auch nicht, das eine Infektion harmlos wäre.

Denn EternalRocks lädt nach einer erfolgreichen Infektion erst einmal einen Tor-Client herunter und nimmt über das Anonymisierungsnetz Kontakt zu einem Kontroll-Server auf. Dieser meldet sich erst nach 24 Stunden zurück. Das soll wohl verhindern, dass Analyse-Verfahren in Testsystemen zu schnell auf die Malware aufmerksam werden. Von hier aus können natürlich weitergehende Schad-Komponenten nachgeladen werden.

Eine zweite Stufe wird ebenfalls erst nach einer gewissen Zeit aktiv. Hier werden dann verschiedene Netzwerk-Scans durchgeführt. Diese bilden die Grundlage für den Versuch, weitere Infektionen durchzuführen. Wie schon bei WannaCry sollte ein aktueller Stand bei den Update-Installationen allerdings ausreichen, um ausreichend vor dem neuen Schädling geschützt zu sein. Infografik: WannaCry befällt hunderttausende RechnerWannaCry befällt hunderttausende Rechner Sicherheit, Malware, Virus Sicherheit, Malware, Virus White Web Services
Diese Nachricht empfehlen
Kommentieren13
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr ABOX Fitness-Tracker, Fitness Armband, Aktivität-Tracker mit Pulsmesser und Schlafmonitor, Schrittzähler, Kalorienzähler, IP68 Wasserdicht Schwimmen-Smart-Armband (mit zusätzlichem Ersatzband)ABOX Fitness-Tracker, Fitness Armband, Aktivität-Tracker mit Pulsmesser und Schlafmonitor, Schrittzähler, Kalorienzähler, IP68 Wasserdicht Schwimmen-Smart-Armband (mit zusätzlichem Ersatzband)
Original Amazon-Preis
35,99
Im Preisvergleich ab
?
Blitzangebot-Preis
30,59
Ersparnis zu Amazon 15% oder 5,40

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden