MÜNCHEN (COMPUTERWOCHE) - Für einen Internet-Wurm ungewöhnlich verhält sich die Variante "D" des Mitte letzter Woche erstmals aufgetauchten Schädlings "W32.Blaster" (Computerwoche online berichtete). Der von Virenexperten auch als "Nachi" oder "Welchia" bezeichnete Wurm verbreitet sich zwar über die gleiche von Microsoft im Security Bulletin "MS03-026" beschriebene Sicherheitslücke wie die W32-Blaster-Versionen A, B und C, entfernt jedoch eventuell bereits installierte Wurm-Varianten und lädt den von Microsoft veröffentlichten Patch nach, der die Sicherheitslücke schließen soll. Nach der Installation des Bugfixes wird der Rechner neu gestartet.

Die Experten halten Nachi dennoch nicht für einen Nützling. "Alles, was ohne Zustimmung des Anwenders geschieht, ist nicht gut", sagte Ian Hammeroff, Sicherheitsexperte bei Computer Associates. Außerdem unterscheide der Wurm nicht zwischen bereits befallenen und nicht infizierten Rechnern, so dass durch die Aktivität des Wurms in jedem Fall die Netzverbindung belastet wird. Zudem hinterlässt Nachi seine Spuren und kopiert sich unter der Bezeichnung "Dllhost.exe" in das Windows-Verzeichnis. Laut Symantec wird die Datei allerdings wieder gelöscht, sobald das Systemdatum das Jahr 2004 anzeigt. Symantec bietet ein kostenloses Tool an, das Nachi von befallenen Rechnern entfernen soll. (lex)