Dieser Tage ist ein neuer Wurm mit Namen W32/Nachi-A (W32/Nachi.worm, WORM_MSBLAST.D) aufgetaucht. Dieser arbeitet über die gleiche Schwachstelle wie W32/Blaster-A - die in Windows arbeitende RPC DCOM. Der große Unterschied besteht aber darin, das Nachi gegen Blaster arbeitet.

Auf ungepatchten Rechnern "infiziert" Nachi das System mit zwei Dateien, der "dllhost.exe" als Hauptkomponente und "svchost.exe" als Standard TFTP-Server, welchen der Wurm verwendet um seine Daten vom Quell- zum Zielrechner zu übertragen.

Sobald der Wurm ausgeführt wird, kopiert er sich selbst in das System und startet neue Dienste. Danach startet er seine Suche nach Computern mit noch existierender RPC DCOM -Schwachstelle. Bei Erfolg kopiert sich der Wurm in den Zielcomputer und versucht die Sicherheitspatches von Microsoft herunterzuladen. Dabei versucht der Wurm entsprechend der Sprache des Betriebssystem eine bestimmte URL aufzurufen. Die Liste besteht aber nur aus asiatischen Sprachen und natürlich Englisch. Ist der Sicherheitspatch heruntergeladen versucht Nachi das System neu zu starten.

Der Nachi Wurm platziert sich aber auch in Systemen, die nicht von Blaster angegriffen wurden. Eine sehr schnelle Verbreitung des Wurms findet derzeit in Asien statt, am 1. Januar 2004 löscht sich der Wurm selbst von dem System.