X

EternalRocks:
WannaCry-Nachfolger nutzt viel mehr NSA-Exploits

Das war natürlich zu erwarten: WannaCry ist nur der Anfang und Sicherheitsforscher haben inzwischen einen weiteren Wurm ausfindig gemacht, der sich rege an den öffentlich gewordenen NSA-Exploits bedient, um Rechner anzugreifen. "EternalRocks" wurde der neue Schädling getauft.
White Web Services
22.05.2017  09:51 Uhr
EternalRocks
Entdeckt wurde der Schädling Ende letzter Woche, als er in einem SMB-Honeypot des CERT der kroatischen Regierung aufschlug. WannaCry hatte ja ebenfalls auf einen Exploit gesetzt, der eine Verbreitung über SMB-Freigaben ermöglichte. EternalRocks verwendet nun aber gleich sechs solcher Lücken, die allesamt mit den Leaks von NSA-Interna öffentlich wurden, berichtet das US-Magazin BleepingComputer.

Für Attacken auf andere Systeme verwendet die neu entdeckte Malware unter anderem jene Exploits, die in den Dokumenten unter den Namen EternalBlue (die auch von WannaCry genutzt wurde), EternalChampion, EternalRomance und EternalSynergy geführt werden. Hinzu kommen zwei weitere Tools, die als SMBTouch und ArchiTouch bezeichnet werden. Und auch das von WannaCry genutzte DoublePulsar findet sich in EternalRocks wieder.

Komplexer, aber mit weniger Wucht

Der neu entdeckte Wurm ist damit zwar wesentlich komplexer, letztlich aber deutlich weniger gefährlich als die Ransomware, die in den letzten Tagen hunderttausende Rechner weltweit infizierte. Denn er führt nicht direkt eine Schadroutine mit, die den befallenen PC sofort lahmlegt. Das bedeutet aber auch nicht, das eine Infektion harmlos wäre.

Denn EternalRocks lädt nach einer erfolgreichen Infektion erst einmal einen Tor-Client herunter und nimmt über das Anonymisierungsnetz Kontakt zu einem Kontroll-Server auf. Dieser meldet sich erst nach 24 Stunden zurück. Das soll wohl verhindern, dass Analyse-Verfahren in Testsystemen zu schnell auf die Malware aufmerksam werden. Von hier aus können natürlich weitergehende Schad-Komponenten nachgeladen werden.

Eine zweite Stufe wird ebenfalls erst nach einer gewissen Zeit aktiv. Hier werden dann verschiedene Netzwerk-Scans durchgeführt. Diese bilden die Grundlage für den Versuch, weitere Infektionen durchzuführen. Wie schon bei WannaCry sollte ein aktueller Stand bei den Update-Installationen allerdings ausreichen, um ausreichend vor dem neuen Schädling geschützt zu sein.

WannaCry befällt hunderttausende Rechner
Infografik: WannaCry befällt hunderttausende Rechner
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture