38322

Blue Code nimmt IIS und Code Red ins Visier

10.09.2001 | 16:32 Uhr |

Die Antivirenexperten der Kaspersky Labs warnen vor einem neuen Wurm namens Blue Code, der wie der Vorgänger Code Red den Webserver von Microsoft befällt. Die Lücke, die Blue Code als Zugang zum IIS nutzt, ist aber eine andere. Außerdem versucht der Wurm Code Red auszuschalten.

Die Antivirenexperten der Kaspersky Labs warnen vor einem neuen Wurm namens Blue Code, der wie der Vorgänger Code Red den Webserver von Microsoft befällt. Die Lücke, die Blue Code als Zugang zum IIS nutzt, ist aber eine andere. Außerdem versucht der Wurm Code Red auszuschalten. Dies berichtet unsere Schwesterpublikation Tecchannel .

Blue Code versucht wie sein Vorgänger eine DoS-Attacke zu starten und sucht nach anderen potentiellen Opfern. Blue Code verbreitet sich laut Kaspersky Labs derzeit nur in China.

Die "Web Server Folder Traversal"-Lücke im ISS 4 und 5, die Blue Code laut Kaspersky Labs ausnutzt, ist im Oktober 2000 entdeckt und von Microsoft mittels Patch geschlossen worden.

Um sich zu vermehren, startet der Wurm auf dem befallenen Rechner 100 Prozesse und sucht mit zufälligen IP-Adressen nach weiteren Opfern. 50 Prozent der IP-Adressen werden nach dem Muster "aa.bb.??.??" erzeugt, wobei "aa" und "bb" den Anfang der IP-Adresse des befallenen Rechners darstellen. Damit will der Wurm alle Rechner eines Netzwerks ausfindig machen. Die übrigen IP-Adressen sind tatsächlich zufällig erzeugt. Die Suche soll einen Webserver spürbar langsamer machen, was für Administratoren ein Indiz für einen möglichen Befall sein kann.

Findet der Wurm einen Webserver, der nicht gegen einen Angriff gefeit ist, lädt er sich auf die Festplatte und beginnt sein Werk, indem er die Dateien SVCHOST.EXE, HTTPEXT.DLL and D.VBS im Laufwerk C: erzeugt. Die Namen der ersten beiden Dateien sind bereits belegt. Beide sind bereits in Windwos 2000/NT enthalten. Durch diesen Schritt versucht der Wurm, seine Anwesenheit zu verschleiern. SVCHOST.EXE trägt der Wurm außerdem in die Registry ein. Anders als Code Red wird Blue Code damit bei jedem Systemstart aktiv.

Mit einem VB-Script versucht der Wurm nach den Erkenntnissen von Kaspersky Labs, den Konkurrenten Code Red auszuschalten. Das Script ändere den Prozess für bestimmte Anfragen über HTTP. Damit sollen die Webserver gegen Code Red immun werden.

Wie Code Red versucht auch Blue Code eine DoS-Attacke zu starten. Das Opfer ist nicht das Weiße Haus, sondern die Website von chinesischen Sicherheitsexperten.

Code Red - die Schadensbilanz (PC-WELT Online, 03.09.2001)

Dutzende Varianten des Code Red bedrohen PCs (PC-WELT Online, 17.08.2001)

Der perfekte Wurm (PC-WELT Online, 13.08.2001)

0 Kommentare zu diesem Artikel
38322