Neuer Wurm verbreitet sich ohne menschliches Zutun

11. Mai 2001, 17:35
1 Posting

sadmind/IIS griff schon tausende Solaris- und Microsoft IIS-Server an

Experten haben erstmals einen neuartigen Computer-Wurm entdeckt, der Internet-Server infiziert und sich ohne menschliches Zutun explosionsartig verbreitet. Der so genannte Wurm "sad mind" könnte nach Einschätzung des Virenexperten Christoph Fischer schon am Wochenende erhebliche Schäden im Internet anrichten. "Der Wurm könnte sich zu einer globalen Stalinorgel entwickeln", sagte Fischer.

Bedroht sind alle Internet-Seiten

Erstmals benutzt ein Wurm eine Schwachstelle in Unix- und Windows-NT-Rechnern und verteilt einen Sabotagecode dann ohne menschliches Zutun auf vielen weiteren Servern. "Bei allen bislang bekannten Viren war für die Verbreitung ja zumindest ein Mausklick auf einen Datei-Anhang nötig", sagte Fischer. "Sad mind" erreiche dagegen eine höhere "Eskalierungsstufe". Der Sabotage-Code könnte unter Umständen alle Daten auf den Servern löschen. Bedroht wären prinzipiell alle Internet-Seiten.

8.800 Server bereits befallen

Der IT-Mirrordienst Attrition.org hat eine Liste von über 8.800 Servern erhalten, die von einem einzigen Wurm heimgesucht wurden. Demnach zieht "sadmind/IIS" seit drei Wochen seine Spur durch das Internet (der Webstandard berichtete) und befällt Solaris- und Microsoft Internet Information Server für Windows NT. Attrition hat die Liste teilweise überprüft und den Schaden bestätigt.

Unerreichbar

Von den 8.836 Systemen waren nur etwas mehr als 2.200 zu erreichen. Von diesen Servern waren noch immer mehrere Hundert von dem Wurm betroffen. Nach Angaben von CERT nutzt sadmind/IIS in beiden Fällen bekannte Schwächen der Server. Zuerst befällt der Wurm einen Solaris-Server und benutzt das System, um das Internet nach weiteren Solaris- und Windows NT Web-Servern zu scannen. Wenn sadmind/IIS einen ungeschützten IIS-Server findet, verändert es die Webseite und hinterlässt eine antiamerikanische Botschaft, ähnlich wie bei dem "Hacker-Krieg" der vergangenen Wochen zwischen chinesischen und US-Hackern. Der Wurm führt ein Logbuch über alle betroffenen Systeme. Die Liste der betroffenen Systeme, die Attrition erhalten hat, stammt dabei von einem einzigen Exemplar des Wurms. Attrition vermutet, dass weitere Exemplare von sadmind/IIS im Umlauf sind. (pte)

Share if you care.