Neuer Wurm „sadmind/IIS“ hat bereits 9000 Server befallen

Offenbar hat sich in den vergangenen drei Wochen unbemerkt ein neuer Internet-Wurm namens „sadmind/IIS“auf mehr als 8.800 Servern weltweit eingenistet. Das geht zumindest aus einem anonym an Attrition.org gesendeten File hervor, der die Server konkret benennt. Nach Meinung des Attrition-Mitarbeiters Brian Martin ist das Dokument authentisch.

Auch das CERT, das Coordination Center der Carnegie Mellon University, hat den Befall bereits registriert und kommentiert. Der Name des Erregers weist auf die zwei Sicherheitslöcher hin, die er für seinen Angriff nutzt: Zum einen das Solstice Sadmind Administrationsprogramm von Suns (Börse Frankfurt: SSY) Solaris-Betriebssystem, zum anderen Microsofts (Börse Frankfurt: MSF) Internet Information Server (IIS) für Windows NT.

Der Wurm führt eine Liste aller verunstalteten Sites und geknackter Solaris-Systeme mit sich. Sobald er in ein System eingedrungen ist, werden die gehosteten Sites mit einer antiamerikanischen Botschaft versehen. Ähnliche Hacks wurden vor wenigen Tagen im „Cyberwar“ zwischen chinesischen und US-amerikanischen Vandalen des öfteren durchgeführt. Aufgrund der anhaltenden Spannungen zwischen Washington und Peking nach der Kollision eines US-Spionageflugzeugs mit einem chinesischen Abfangjäger hatte es seit Ende April verstärkte Angriffen chinesischer Hacker auf US-Websites gegeben. Durch die Angriffe war auch der Server des Weißen Hauses in Washington vorübergehend lahm gelegt worden (ZDNet berichtete laufend).

Sowohl Microsoft als auch Sun haben bereits Patches für die Sicherheitslöcher bereitgestellt.