Netzpolitik
Neuer Wurm verbreitet sich ohne menschliches Zutun
sadmind/IIS griff schon tausende Solaris- und Microsoft IIS-Server an
Experten haben erstmals einen neuartigen Computer-Wurm entdeckt, der Internet-Server infiziert und sich ohne menschliches Zutun explosionsartig verbreitet. Der so genannte Wurm "sad mind" könnte nach Einschätzung des Virenexperten Christoph Fischer schon am Wochenende erhebliche Schäden im Internet anrichten. "Der Wurm könnte sich zu einer globalen Stalinorgel entwickeln", sagte Fischer. Bedroht sind alle Internet-Seiten
Erstmals benutzt ein Wurm eine Schwachstelle in Unix- und Windows-NT-Rechnern und verteilt einen Sabotagecode dann ohne menschliches Zutun auf vielen weiteren Servern. "Bei allen bislang bekannten Viren war für die Verbreitung ja zumindest ein Mausklick auf einen Datei-Anhang nötig", sagte Fischer. "Sad mind" erreiche dagegen eine höhere "Eskalierungsstufe". Der Sabotage-Code könnte unter Umständen alle Daten auf den Servern löschen. Bedroht wären prinzipiell alle Internet-Seiten.
8.800 Server bereits befallen
Der IT-Mirrordienst
Attrition.org
hat
eine Liste von über 8.800 Servern erhalten, die von einem einzigen Wurm
heimgesucht wurden. Demnach zieht "sadmind/IIS" seit drei Wochen seine
Spur durch das Internet (der Webstandard
berichtete
) und befällt Solaris- und
Microsoft
Internet
Information Server für Windows NT. Attrition hat die Liste teilweise überprüft
und den Schaden bestätigt.
Unerreichbar
Von den 8.836 Systemen waren nur etwas mehr als 2.200 zu erreichen. Von
diesen Servern waren noch immer mehrere Hundert von dem Wurm betroffen.
Nach Angaben von CERT nutzt sadmind/IIS in beiden Fällen bekannte
Schwächen der Server. Zuerst befällt der Wurm einen Solaris-Server und
benutzt das System, um das Internet nach weiteren Solaris- und Windows
NT Web-Servern zu scannen. Wenn sadmind/IIS einen ungeschützten
IIS-Server findet, verändert es die Webseite und hinterlässt eine
antiamerikanische Botschaft, ähnlich wie bei dem "Hacker-Krieg" der
vergangenen Wochen zwischen chinesischen und US-Hackern.
Der Wurm führt ein Logbuch über alle betroffenen Systeme. Die Liste der
betroffenen Systeme, die Attrition erhalten hat, stammt dabei von einem
einzigen Exemplar des Wurms. Attrition vermutet, dass weitere Exemplare
von sadmind/IIS im Umlauf sind. (pte)