Categories: Workspace

Die Rückkehr von Code Red: Erste neue Opfer


Die einzige bedeutsame Änderung in dieser Version ist das Entfernen der Datumsbegrenzung, so dass uns diese Variante auf unbestimmte Zeit heimsuchen dürfte. Die Tatsache, dass Code Red II (die Vorgängerversion des Wurms) eine Datumsbegrenzung besaß und sich daher nicht weiter verbreitet hatte, verführte wohl einige Administratoren und Anwender dazu, die Patches zu ignorieren, die seit Mitte 2001 verfügbar sind.

Details
Das Original von Code Red (inzwischen als Code Red I bezeichnet) war für eine DDoS-Attacke (Distributed Denial of Service) auf die Website des Weißen Hauses (www.whitehouse.gov) entwickelt worden. Es hatte aber so gut wie keine Wirkung, da sich der Angriff nur auf eine spezielle IP richtete. Sobald der Wurm gesichtet worden war, änderte die Regierung einfach die IP-Adressen für diesen Server.

Am 18. Juni 2001 veröffentlichte Microsoft einen Patch für die Buffer-Overflow-Sicherheitslücke der IIS-Datei ldq.dll, die Server für diese Attacke anfällig machte. Dieser Patch wirkt gegen Code Red I, Code Red II und die neueste Variante, Code Red.F.

Code Red II, der zum ersten Mal am 4. August 2001 gesichtet wurde, nutzte dieselbe Buffer-Overflow-Sicherheitslücke in ungepatchten älteren Versionen des Microsoft IIS-Webservers aus (Internet Information Server). Der große Unterschied zwischen Code Red I und II bestand darin, dass Code Red II nicht auf eine DoS-Attacke aus war, sondern gleich ganz die Kontrolle über den Server übernahm und so den Fernzugriff auf das infizierte System ermöglichte.

Code Red.F ist eine relativ unbedeutende Variante des Code Red II-Wurms. Ebenso wie Code Red II scheint Code Red.F zwischen Computern, die die chinesische Sprache verwenden, und allen anderen Systemen zu unterscheiden. Diese Unterscheidung bezieht sich jedoch nur auf das Timing und die Intensität der Attacke. Nachdem Code Red.F sich und sein heimtückisches Marschgepäck auf einem chinesischen System installiert hat, verhält er sich für zwei oder vier Tage ruhig, ehe er sich aktiviert. Auf allen anderen Systemen aktiviert er sich sofort nach der Installation.

Wahrscheinlich dürfte sich auch diese Variante von Code Red wieder rasch verbreiten, da die Administratoren einiger infizierter Rechner sich nicht bewusst sind, dass sie den IIS installiert haben, weshalb sie keine entsprechenden Patches oder Service Packs nutzen.

Diese neueste Version des Wurms ist unter verschiedenen Namen bekannt: Code Red.v3, Code Red.C, Code Red III, W32.Bady.C und Code Red.F. Symantec berichtet, dass die von Code Red.F eingerichtete Hintertür (Trojan.VirtualRoot) eine Sicherheitslücke von Windows 2000 ausnutzt. Um diese Sicherheitslücke zu stopfen, sollte der Sicherheits-Patch installiert werden, der unter MS00-052 „Relative Shell Path Vulnerability“ zu finden ist.

F-Secure bietet eine detaillierte Analyse dieser neuen Version von Code Red mit besonderem Augenmerk auf das Entfernen der Datumsbeschränkung, die Code Red II Ende 2002 aus dem Verkehr zog.

Wer ist betroffen?
Neben Installationen von Microsoft IIS 4.0 und 5.0 haben evtl. auch andere Systeme, die für die Erstellung von Webseiten verwendet werden (auch mit FrontPage), den IIS installiert, u. U. sogar ohne Wissen des Anwenders oder Administrators.

Risikostufe: hoch
Dieser Wurm hat einen Trojaner im Gepäck, der entfernten Angreifern vollständigen Zugriff auf das infizierte System ermöglicht.

Page: 1 2

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

19 Stunden ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

22 Stunden ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

1 Tag ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

2 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

2 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago