Die Rückkehr von Code Red: Erste neue Opfer

Die einzige bedeutsame Änderung in dieser Version ist das Entfernen der Datumsbegrenzung, so dass uns diese Variante auf unbestimmte Zeit heimsuchen dürfte. Die Tatsache, dass Code Red II (die Vorgängerversion des Wurms) eine Datumsbegrenzung besaß und sich daher nicht weiter verbreitet hatte, verführte wohl einige Administratoren und Anwender dazu, die Patches zu ignorieren, die seit Mitte 2001 verfügbar sind.

Details
Das Original von Code Red (inzwischen als Code Red I bezeichnet) war für eine DDoS-Attacke (Distributed Denial of Service) auf die Website des Weißen Hauses (www.whitehouse.gov) entwickelt worden. Es hatte aber so gut wie keine Wirkung, da sich der Angriff nur auf eine spezielle IP richtete. Sobald der Wurm gesichtet worden war, änderte die Regierung einfach die IP-Adressen für diesen Server.

Am 18. Juni 2001 veröffentlichte Microsoft einen Patch für die Buffer-Overflow-Sicherheitslücke der IIS-Datei ldq.dll, die Server für diese Attacke anfällig machte. Dieser Patch wirkt gegen Code Red I, Code Red II und die neueste Variante, Code Red.F.

Code Red II, der zum ersten Mal am 4. August 2001 gesichtet wurde, nutzte dieselbe Buffer-Overflow-Sicherheitslücke in ungepatchten älteren Versionen des Microsoft IIS-Webservers aus (Internet Information Server). Der große Unterschied zwischen Code Red I und II bestand darin, dass Code Red II nicht auf eine DoS-Attacke aus war, sondern gleich ganz die Kontrolle über den Server übernahm und so den Fernzugriff auf das infizierte System ermöglichte.

Code Red.F ist eine relativ unbedeutende Variante des Code Red II-Wurms. Ebenso wie Code Red II scheint Code Red.F zwischen Computern, die die chinesische Sprache verwenden, und allen anderen Systemen zu unterscheiden. Diese Unterscheidung bezieht sich jedoch nur auf das Timing und die Intensität der Attacke. Nachdem Code Red.F sich und sein heimtückisches Marschgepäck auf einem chinesischen System installiert hat, verhält er sich für zwei oder vier Tage ruhig, ehe er sich aktiviert. Auf allen anderen Systemen aktiviert er sich sofort nach der Installation.

Wahrscheinlich dürfte sich auch diese Variante von Code Red wieder rasch verbreiten, da die Administratoren einiger infizierter Rechner sich nicht bewusst sind, dass sie den IIS installiert haben, weshalb sie keine entsprechenden Patches oder Service Packs nutzen.

Diese neueste Version des Wurms ist unter verschiedenen Namen bekannt: Code Red.v3, Code Red.C, Code Red III, W32.Bady.C und Code Red.F. Symantec berichtet, dass die von Code Red.F eingerichtete Hintertür (Trojan.VirtualRoot) eine Sicherheitslücke von Windows 2000 ausnutzt. Um diese Sicherheitslücke zu stopfen, sollte der Sicherheits-Patch installiert werden, der unter MS00-052 „Relative Shell Path Vulnerability“ zu finden ist.

F-Secure bietet eine detaillierte Analyse dieser neuen Version von Code Red mit besonderem Augenmerk auf das Entfernen der Datumsbeschränkung, die Code Red II Ende 2002 aus dem Verkehr zog.

Wer ist betroffen?
Neben Installationen von Microsoft IIS 4.0 und 5.0 haben evtl. auch andere Systeme, die für die Erstellung von Webseiten verwendet werden (auch mit FrontPage), den IIS installiert, u. U. sogar ohne Wissen des Anwenders oder Administrators.

Risikostufe: hoch
Dieser Wurm hat einen Trojaner im Gepäck, der entfernten Angreifern vollständigen Zugriff auf das infizierte System ermöglicht.