112008

Weitere Informationen zum "Code Red"-Wurm

20.07.2001 | 14:04 Uhr |

In einem gewaltigen Sturmlauf hat der "Code Red"-Wurm bis jetzt mehrere 100.000 Webserver lahmgelegt. Betroffen sind Systeme auf Basis des Internet Information Servers (IIS) unter Windows NT und 2000. Nachdem der Höhepunkt der Angriffswelle vorbei ist, sind nun viele Administratoren mit den Aufräumarbeiten beschäftigt.

In einem gewaltigen Sturmlauf hat der "Code Red"-Wurm bis jetzt mehrere 100.000 Webserver lahmgelegt. Betroffen sind Systeme auf Basis des Internet Information Servers (IIS) unter Windows NT und 2000. Nachdem der Höhepunkt der Angriffswelle vorbei ist, sind nun viele Administratoren mit den Aufräumarbeiten beschäftigt.

Auch Firmen, die nicht vomWurmbetroffen waren, fanden in ihren Systemen nach dem gestrigen "Infektionssturm" einige Ungereimtheiten vor. So haben etwa einige internetfähige Drucker seitenweise Fehlermeldungen und Teile des Wurms ausgedruckt.

Zwar konnte der Schädling solche Geräte nicht infizieren, verursachte aber durch die Papierverschwendung Kosten und Schäden. Andere Geräte waren nicht mehr ansprechbar, ein Neustart reichte aber in den meisten Fällen für die Reaktivierung.

Einige Internetseiten mit SMS-Gateways bekamen ebenfalls Probleme: sie versuchten, die Daten als Telefonnumer zu interpretieren und verschickten in vielen Fällen Datenmüll an die selbe Adresse.

Andere Anwender meldeten, dassDSL-Routerausfielen. Ein Neustart (Stecker raus, Stecker rein) behob diesen Fehler jedoch schnell.

Tückisch: Selbst wenn ein Virenscanner auf dem Webserver installiert war, konnte der Wurm zuschlagen. Der Wurm existiert nämlich nur im Speicher, es handelt sich bei ihm um keine infizierte Datei. Somit gibt es nichts, wonach ein Virenscanner suchen kann. Nur ein Intrusion Detection System kann den Wurm entdecken. Administratoren sollten IIS-Server aus diesem Grund möglichst schnell mit den aktuellen Updates versorgen. McAfee arbeitet gerade an einem Online-System, das feststellen kann, ob ein entsprechender Server infiziert ist oder nicht, beziehungsweise, ob er verwundbar ist.

Da keine Datei auf dem Rechner infiziert wird, ist es nicht möglich, den Wurm mit einem Virenscanner zu finden. Ein Update wird es daher von den Programmen nicht geben. Einige weitere Details zum Worm bieten diefolgenden Hersteller jedoch an:

Symantec Symantec (Norton Anti-Virus)

McAfee

Trend Micro (PC-Cilin, ServerProtect, Office Scan)

Kaspersky Antivirus (vormals AVP)

"Code Red"-Wurm breitet sich explosionsartig aus (PC-WELT 20.07.2001)

0 Kommentare zu diesem Artikel
112008