118730

Doomjuice.B: Angreifer verfeinern DoS-Attacken-Routine

12.02.2004 | 13:07 Uhr |

Der Mydoom-Wurm sorgte für einige Schlagzeilen in der Computerbranche und verbreitete sich in Rekordgeschwindigkeit im Internet. Wahrscheinlich aus der Feder desselben Angreifers stammt der vor einigen Tagen im Internet aufgetauchte Wurm Doomjuice. Jetzt ist eine weitere Variante des Doomjuice aufgetaucht. Doomjuice.B greift ebenfalls die Server von Microsoft an. Bei der B-Variante wurde allerdings die Methode der DoS-Attacke verfeinert.

Der Mydoom-Wurm sorgte für einige Schlagzeilen in der Computerbranche und verbreitete sich in Rekordgeschwindigkeit im Internet. Wahrscheinlich aus der Feder desselben Angreifers stammt der vor einigen Tagen im Internet aufgetauchte Wurm Doomjuice. Jetzt ist eine weitere Variante des Doomjuice aufgetaucht. Doomjuice.B greift ebenfalls die Server von Microsoft an. Bei der B-Variante wurde allerdings die Methode der DoS-Attacke verfeinert.

Die Mydoom.A, Mydoom.B und Doomjuice.A nutzten für ihre DoS-Attacken simple GET-Befehle an den Port 80 der Website, die angegriffen werden soll. Diese Angriffe können mit Hilfe einfacher Netzwerk-Filter ausgefiltert werden, weil sie nicht dem typischen Schema einer Anfrage durch einen Browser entsprechen.

Warum dennoch die Website von SCO durch den Mydoom.A-Wurm erfolgreich angegriffen werden konnte, ist bis dato unklar. SCO hätte sich durch die vom Wurm gewählte Form der DoS-Attacke ebenso vor ihm schützen können, wie es Microsoft bei der B-Variante gemacht hat.

Beim Doomjuice.B wurde die Methode der DoS-Attacke verfeinert. Die Attacken erfolgen in einer Form, die dem Aufruf einer Website durch den Internet Explorer gleicht. Dadurch können sie nicht mehr so einfach automatisch ausgefiltert werden.

Der Wurm entscheidet anhand des Datums, ob eine DoS-Attacke auf www.microsoft.com durchgeführt werden soll. Zwischen dem 8. und 12. eines jeden Monats und während des gesamten Januars erfolgt keine Attacke, an allen anderen Tagen werden die Microsoft-Server mit den Anfragen bombardiert.

Doomjuice.B enthält ebenso wie Doomjuice.A den kompletten Quellcode des Mydoom.A-Wurms in unkompilierter Form. Außerdem werden nur Rechner von dem Wurm infiziert, auf denen sich bereits der MyDoom.A-Wurm eingenistet hat. Weitere Infos zum Doomjuice-Wurm lesen Sie in dieser Nachricht .

MyDoom.C/Doomjuice: Neue Variante enthält Source-Code des Vorgängers (PC-WELT Online, 10.02.2004)

0 Kommentare zu diesem Artikel
118730