Entdeckt wurde der Schädling Ende letzter Woche, als er in einem SMB-Honeypot des CERT der kroatischen Regierung aufschlug. WannaCry hatte ja ebenfalls auf einen Exploit gesetzt, der eine Verbreitung über SMB-Freigaben ermöglichte. EternalRocks verwendet nun aber gleich sechs solcher Lücken, die allesamt mit den Leaks von NSA-Interna öffentlich wurden, berichtet das US-Magazin BleepingComputer.
Für Attacken auf andere Systeme verwendet die neu entdeckte Malware unter anderem jene Exploits, die in den Dokumenten unter den Namen EternalBlue (die auch von WannaCry genutzt wurde), EternalChampion, EternalRomance und EternalSynergy geführt werden. Hinzu kommen zwei weitere Tools, die als SMBTouch und ArchiTouch bezeichnet werden. Und auch das von WannaCry genutzte DoublePulsar findet sich in EternalRocks wieder.
Komplexer, aber mit weniger Wucht
Der neu entdeckte Wurm ist damit zwar wesentlich komplexer, letztlich aber deutlich weniger gefährlich als die Ransomware, die in den letzten Tagen hunderttausende Rechner weltweit infizierte. Denn er führt nicht direkt eine Schadroutine mit, die den befallenen PC sofort lahmlegt. Das bedeutet aber auch nicht, das eine Infektion harmlos wäre.Eine zweite Stufe wird ebenfalls erst nach einer gewissen Zeit aktiv. Hier werden dann verschiedene Netzwerk-Scans durchgeführt. Diese bilden die Grundlage für den Versuch, weitere Infektionen durchzuführen. Wie schon bei WannaCry sollte ein aktueller Stand bei den Update-Installationen allerdings ausreichen, um ausreichend vor dem neuen Schädling geschützt zu sein. Infografik: WannaCry befällt hunderttausende Rechner
2017-05-22T09:51:00+02:00Christian Kahle