Wurm "Slapper" macht erneut Jagd auf Open Source

25. September 2002, 12:11
1 Posting

Zwei neue Varianten aufgetaucht - Apache Web-Server die unter Linux laufen werden attackiert

Zwei neue Varianten des Computerschädlings "Slapper" sind nun erstmals in freier Wildbahn aufgetaucht. Der Wurm attackiert Apache Web-Server die unter Linux laufen und verbreitet sich nach Meldung von Anti-Viren-Spezialisten sehr schnell.

Slapper.B und Slapper.C

Die beiden neue Version des Wurms, bekannt unter Slapper.B und Slapper.C, sind Modifikationen des Originals (Slapper.A) und sind im Vergleich zu diesem wesentlich schwerer von einem infizierten System zu entfernen. Dabei nutzen auch die beiden jetzt entdeckten Formen die bekannte Schwachstelle im Secure Sockets Layer 2.0 (SSLv2) Handshake-Prozess des Verschlüsselungsprogramms OpenSSL und haben bereits tausende Web-Server weltweit infiziert.

Server wird zum Wirt

Durch integrierte Peer-to-peer-Mechanismen (P2P) lassen sich von einem infizierten Rechner aus Distributed-Denial-of-Service-Attacken (DDoS) auf andere Web-Seiten starten. Das eröffnet dem Angreifer totalen Zugriff auf den Zielrechner. Betroffen seien alle Versionen von OpenSSL bis einschließlich 0.9.6d und 0.9.7 Beta 1. Alle drei aufgetretenen Slapper-Varianten verbreiten sich laut IT-Sicherheitsunternehmen Internet Security Systems (ISS) rasend schnell. Bis zum 23. September hat Slapper.B nach ISS-Angaben bereits mehr als 15.300 und Slapper.C über 1.500 Hosts infiziert. Slapper.A, auf den ISS erstmals am 14. September aufmerksam gemacht hatte, nahm in den ersten drei Tagen etwa 11.000 Server in Beschlag. ISS geht für die nahe Zukunft davon aus, dass Slapper Hackern als Entwicklungsplattform für weitere Varianten dienen wird.

Namen auf die man achten muss

Der Wurm Slapper.A verwendete den Namen "bugtraq" und benutzte das UDP port 2002, Slapper.B nennt sich "cinik" und verwendet Port 1978 während Slapper.C als "unlock" bezeichnet wird und Port 4156 nutzt. System Administratoren sollen nach diesen Namen suchen um eine mögliche Infizierung zu erkennen, so das Sicherheitsunternehmen F-Secure. Es wird dringend geraten entsprechende Patches zu installieren, da sich die neuen Würmer nur sehr schwer von einem System entfernen lassen.(red/pte)

Share if you care.