Die Rückkehr von Code Red: Erste neue Opfer

Administratoren, die in den letzten 17 Monaten kumulative Patches oder Service Packs für den IIS einsetzten, haben das Einfallstor für den Code Red-Wurm bereits blockiert. Signaturen der Antivirus-Software für die Würmer Code Red I und Code Red II erkennen und blockieren auch diese Variante.

Patchen & Entfernen
Links zu einem kumulativen Patch finden sich unter MS01-044. Dieser Patch sollte auf allen betroffenen IIS-Servern installiert werden. Wer nur den älteren Patch für die von Code Red ausgenutzte Buffer-Overflow-Sicherheitslücke braucht, findet diesen unter MS01-033.

Microsoft hat zwar längst einen Patch für diese Sicherheitslücke veröffentlicht, doch wer diesem Code Red-Entfernungs-ToolCode Red-Entfernungs-Tool nicht traut, kann auch einen Blick auf die aktualisierte Webseite vom Symantec Security Response zu Code Red werfen. Nach Angaben des Unternehmens erkennt und entfernt dessen bereits verfügbares Code Red-Entfernungs-Tool (FixCRed.exe) auch die neue Variante, d. h. es findet die Hintertür von Code Red II und Code Red.F (Trojan VirtualRoot) auf allen Systemen. Interessant ist dabei, dass die Webseite von Microsoft nicht ausdrücklich darauf hinweist, dass sein Tool auch gegen Code Red.F wirkt, im Gegensatz zur Webseite mit dem Tool von Symantec.

Alle Spuren von Code Red zu beseitigen, kann ein mühseliges Unterfangen sein, wenn man nicht auf ein entsprechendes Tool zurückgreift. Wer diese Aufgabe trotzdem manuell erledigen will oder muss, findet bei Symantec eine detaillierte Anleitung zum manuellen Entfernen.

---

Softdrink
Eine kleine IT-Anekdote am Rande: Sophos, ein britischer Anbieter von Antivirus-Software, berichtet: „Eine wenig bekannte Tatsache bezüglich des Code Red-Wurms ist, dass er seinen Namen dem gleichnamigen Softdrink mit Kirschgeschmack der Firma Mountain Dew verdankt. Einer der ersten Forscher, die den Code des Wurms analysierten, soll bei seiner Arbeit große Mengen dieses Getränks konsumiert haben.“

---

Schlussbemerkung
Als er zum ersten Mal auftauchte, war Code Red der sich bis dato am schnellsten ausbreitende Wurm. Eine Vielzahl von Systemen war für ihn anfällig und wurde rasch infiziert. Bei dieser aktuellen Variante konnte ich die Ausbreitung zwei Tage lang verfolgen, ehe ein kritischer Level erreicht war. Dies dürfte vor allem daran gelegen haben, dass die Mehrzahl der Installationen inzwischen gepatcht oder zumindest mit einem Antivirus-Programm geschützt sind.

Da der IIS auf einigen Windows 2000-Rechnern standardmäßig installiert ist, obwohl er gar nicht verwendet wird, und weil er auch auf vielen im Webdesign eingesetzten Systemen vorhanden ist, kann es durchaus vorkommen, dass die meisten der dieses Mal infizierten Rechner vor allem deshalb angreifbar sind, weil Benutzer und Administratoren nicht einmal wissen, dass der IIS installiert ist. Daher haben sich diese Anwender natürlich nicht um entsprechende Patches gekümmert. Allerdings gibt es keine Entschuldigung für das Fehlen einer Antivirus-Software. Die übrigen infizierten Systeme dürften auf unerfahrene Administratoren zurückzuführen sein oder auf Firmen, die nicht einmal über einen professionellen Administrator verfügen, der weiß, wie man richtig mit Patches umgeht.

Gefällt Ihnen dieser Artikel? Dann abonnieren Sie gleich den kostenlosen ZDNet Tech Update Newsletter zu den Themen Betriebssysteme, Security, E-Business und mehr: Der wöchentliche Newsletter für IT- und Business-Entscheider.