111804

"Code Red"-Wurm breitet sich explosionsartig aus

20.07.2001 | 10:38 Uhr |

Seit etwa drei Tagen ist der "Code Red"-Wurm bekannt, der eine Sicherheitslücke des Internet Information Servers (IIS) in den Versionen 4 und 5 unter Windows NT 4 und 2000 ausnutzt. Seit gestern Nacht breitet sich der Wurm aus noch ungeklärten Gründen explosionsartig aus.

Seit etwa drei Tagen ist der "Code Red"-Wurm bekannt, der eine Sicherheitslücke des Internet Information Servers (IIS) in den Versionen 4 und 5 unter Windows NT 4 und 2000 ausnutzt. Mittels eines Buffer Overflows kann er so auf einem System Administrator-Rechte erlangen, sich dort einnisten, die Startseite verändern und anschließend weitere Systeme befallen.

Sogar einige Microsoft-Server, auf denen Windowsupdate läuft, wurden vom Wurm befallen. Benutzer erhielten beim Besuch dieser Seite nur ein lapidares "Welcome to http://www.worm.com ! Hacked by Chinese!"

Seit gestern Nacht breitet sich der "Code Red"-Wurm aus noch nicht geklärten Gründen jedoch massiv aus, in dem er nach verwundbaren Rechnern mittels Zufallszahlengenerator sucht und diese dann infiziert. Diese suchen dann wie im Schneeballsystem nach weiteren verwundbaren Rechnern.

Bisher sind nach ersten Schätzungen mindestens 370.000 IIS-Webserver vom Wurm infiziert und damit lahm gelegt worden. In den Logdateien von nicht betroffenen Apache-Servern unter Linux oder anderen Unix-Systemen finden sich teilweise bis zu 100 Angriffsversuche pro Minute wieder. Auch Desktop-Firewalls wie ZoneAlarm haben gestern Nacht des öfteren Alarm geschlagen.

Der Virus versucht, je nach aktuellem Tag, verschiedene Dinge auszuführen. Vom 1. bis 19. eines Monats verbreitet er sich nur, vom 20. bis 27. eines Monats versucht er, die Seite des Weißen Hauses mittels DoS-Attacken lahm zu legen und vom 28. bis Monatsende tut er gar nichts.

Zumindest die DoS-Attacken, die ab heute früh nach obigen Plan verlaufen, waren weniger erfolgreich als die Infektionen: Da mehrere Server für die Präsenz des Weißen Hauses zuständig sind (unter anderem www.whitehouse.gov oder www2.whitehouse.gov ), ist diese Seite ohne Schwierigkeiten zu erreichen. Weiterhin versucht er, Daten über das gehackte System an eine Internetseite weiterzuleiten, die aber mittlerweile gesperrt wurde.

Zu der Sicherheitslücke gibt es zwar schon seit längerem einen Patch, jedoch musste Microsoft ihn immer wieder aktualisieren, da er nicht alle Probleme behob. So ist es wahrscheinlich, dass ein vorsichtiger Administrator zwar das Sicherheitsupdate eingespielt hat, jedoch nicht in der aktuellen Version 3.0.

Um den Wurm zu stoppen, sollten folgende Updates auf IIS-Systemen dringend (neben den aktuellen Service Packs) eingespielt werden:

MS01-025

MS01-033

Welche Updates generell gegen Sicherheitslücken auf einem IIS4-System (unter Windows NT 4 mit SP6a) installiert werden sollten, erfahren Sie hier

Die Liste aller Updates eines IIS5-Systems (unter Windows 2000 mit SP2) ist hier zu finden:

Weiterführende Informationen zur Sicherheitslücke gibt es auf www.eeye.com

PC-WELT Virenlexikon

Sicherheitslücke in ZoneAlarm (PC-WELT Online, 19.07.2001)

Mehr Breitband-Zugänge - mehr DDoS-Attacken (PC-WELT Online, 17.07.2001)

0 Kommentare zu diesem Artikel
111804