Update zu SMB-Wurm EternalRocks

Der Entwickler des EternalRocks SMB-Wurms scheint seine Operation abgebrochen zu haben, nachdem seine Malware in den letzten Wochen und Monaten in den Medien intensiv diskutiert wurde.

Für alle, die nicht wissen, was EternalRocks ist: Dies ein Computerwurm, der das SMB-Protokoll und NSA-Hacking-Tools verwendet, um sich auf Windows-Computer zu verbreiten, auf denen anfällige SMB-Dienste ausgeführt werden.

Der EternalRocks SMB Wurm kam im Mai 2017 ans Tageslicht, entdeckt von dem kroatischen Sicherheitsforscher Miroslav Stampar. Der Entwickler hat sich scheinbar von der SMB-Wurmkomponente der WannaCry-Ransomware inspirieren lassen, aber er benutzte sieben statt zwei NSA-Hacking-Tools.

Im Gegensatz zum WannaCry SMB-Wurm, der die WannaCry-Ransomware-Binärdatei ausgeliefert hat, setzte dieser SMB-Wurm nie Malware auf infizierten Hosts ein (basierend auf den derzeit verfügbaren Informationen).

Da EternalRocks jedoch kurz nach dem Ausbruch der WannaCry-Ransomware entdeckt wurde, wurde es in den Medien intensiv diskutiert.

Dieser intensive Fokus, sowohl von den Nachrichtenmedien als auch von den Cybersicherheitsfirmen, scheint eine Auswirkung auf den Autor des EternalRocks Wurms gehabt zu haben.

Der Sicherheitsforscher Stampar hat die Änderung der Arbeitsweise des SMB-Wurms bereits bestätigt.

Die ersten Versionen des EternalRocks Wurms, der im Mai 2017 entdeckt wurde, funktionieren über einen zweistufigen Installationsprozess. Während der zweiten Phase dieses Prozesses, der normalerweise nach einer Wartezeit von etwa 24 Stunden stattfindet, lädt EternalRocks eine Datei namens shadowbrokers.zip mit den sieben NSA-Hacking-Tools herunter.

Nach Angaben des kroatischen Sicherheitsforschers lädt EternalRocks nun nur noch ein harmloses Dummy-Executable herunter.

Ohne das Herunterladen der Datei shadowbrokers.zip sind die mit EternalRocks infizierten Computer relativ hamlos und können nicht andere Rechner infizieren. Das bedeutet aber nur, dass die Gefahr aufgeschoben, aber nicht aufgehoben ist.

Jederzeit kann der Entwickler seinen Wurm wieder aktivieren - möglicherweise mit all den befürchteten katastrophalen Folgen.

In dem Zusammenhang: Am 8. April 2017 hat Microsoft die Unterstützung für Windows XP beendet, also den Service für XP zu allen Consumer-Computern eingestellt. Fast alle Geldautomaten weltweit (ca. 95%) laufen jedoch noch immer unter Windows XP.

Interessiert an mehr? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Partner | Referenzen
  • CLAAS.png
  • Tsystems.gif
  • netcologne.gif
  • deutschepost.gif
  • 1_LOGO_VARONIS.png
  • 1_LOGO_VEEAM.png
  • commerzbank.gif
  • sbb.gif
  • Exponet Infrakon 4c.png
  • VOESTALPINE.png
  • vodafone.gif
  • 1_LOGO_SSH.png
  • 1_LOGO_SEMATICON.png
  • 1_LOGO_FARSITE.png
  • 1_LOGO_NEXIONA.png
  • LMK.png
  • Postbank.jpg
  • tuev-nord.jpg
  • ASKLEPIOS.png
  • BAYER.png