Neue Version von Code Red aufgetaucht

7. August 2001, 17:40
8 Postings

Noch gefährlicher, noch bösartiger - Zugriff auf die Festplatte aus dem Internet möglich

Am Wochenende kam es zu einer neuerlichen Attacke eines gefährlichen Wurms. Es handelt sich dabei um eine neuprogrammierte Variante des Code Red Wurms. Experten tauften den Schädling daher einfach Code Red 2. Laut Berichten von Virenspezialisten ist der Ableger wesentlich gefährlicher und bösartiger als sein Vorgänger. Wie auch schon Code red bedient sich der Wurm einer Sicherheitslücke in Microsofts Internet Information Server.

Unwissende User?

Noch immer scheinen viele User noch nicht genügend Sicherheitsvorkehrungen getroffen zu haben. Da bei vielen Anwendern scheinbar nicht bekannt ist, dass ihr Windows Rechner auch gleichzeitig als (angreifbarer) Webserver arbeitet, vermehrt sich der neue Wurm enorm schnell. Vor allem in den Netzen großer amerikanischen Anbieter von Kabelmodem-Internetzugängen, wie z.B. Excite@Home, verbrietet der Wurm Angst und Schrecken.

Englands Innenministerium warnt

In einem ersten Statement hieß es von Seiten des britischen Innenministeriums: "Computeruser werden mit einer lokalen Störung des Internets in den nächsten Tagen zu rechnen haben. Wie stark und wo diese Ausfälle stattfinden werden, kann nicht genau vorhergesagt werden."

Neue Verbreitungsmöglichkeiten

Die Schreiber des neuen Wurms haben den Schädling wesentlich verbessert und hinterlistiger gemacht. Code Red 2 breitet sich nun nicht mehr ausschließlich über zufällig ausgewählte IP-Adressen, sondern greift zunächst einmal das Netzwerk an, indem sich der infizierte Rechner befindet. Diese Fähigkeit ermöglicht es dem Schädling auch in geschlossene Netzwerke einzudringen und weitere Rechner zu infizieren.

Die genaue Analyse

Die Firmen eEye Digital Security und Security Focus haben eine genaue Analyse des Wurms veröffentlicht. Zwar ist der Wurm völlig neu geschrieben verwendet aber die gleichen Angriffs- und Verbreitungsmethoden wie Code Red. Nach einer Infektion des Rechner, wird dieser zunächst neu gestartet. Eine Erkennung eines erfolgreichen Angriffs ist daher leicht möglich. Nach dem Versuch weitere Rechner zu befallen, schaltet der Wurm in eine Art "Tiefschlaf". Dieser dauert auf chinesischen Rechnern zwei, auf anderen einen Tag.

Ablaufdatum inklusive

Der Wurm hat ein Ablaufdatum eingeschrieben; nach dem 30. September 2001 wird er nicht mehr versuchen sich weiter zu verbreiten. Auffällig ist außerdem, dass der Wurm eine ,,root.exe"-Datei anlegt, die aber nichts weiter als eine Kopie des bei Windows NT/2000 mitgelieferten Kommandointerpreters cmd.exe ist.

Weitere Überraschungen

Code Red 2 ist bis hier zwar noch relativ harmlos, doch hat er einige weitere Überraschungen zu bieten. Er legt eine ausführbare Datei c:\explorer.exe an, die den Zugriff aus dem Internet auf die lokale Festplatte ermöglicht. Neue Registry-Keys ermöglichen den Zugriff auf die Festplatte C: mit http:///c/. Durch "root.exe" können sich beliebige weitaus gefährlichere Befehle im infizierten Rechner vom Internet aus ausführen lassen.(red)

Share if you care.