Neuer Wurm belästigt Bill Gates

Das Antiviren-Unternehmen Symantec hat vor einem neuen Virenwurm gewarnt, der eine bereits bekannte Sicherheitslücke in den Versionen 4 und 5 von Microsofts (Börse Frankfurt: MSF) Internet Information Server (IIS) ausnutzt. „DoS.Storm.Worm“ befällt ungesicherte IIS-Systeme und startet eine DoS-Attacke („Denial of Service“) auf die Site des Softwarekonzerns. Zusätzlich versendet er eine „obszöne Nachricht“ an die E-Mail-Adresse von Bill Gates.

Der Wurm scannt selbstständig das Netz nach Servern, die den Patch gegen die „Web Server Folder Traversal-Sicherheitslücke“ nicht installiert haben. Das Problem war im Oktober vergangenen Jahres entdeckt worden. Findet der Wurm ein ungepatchtes System, befällt er es und mutiert den Server zum Zombie. So wird ein Rechner genannt, der von einem unbekannten Angreifer zu einem verteilten Angriff („Distributed DoS“) genutzt wird.

Bei DoS-Angriffen wird der Webserver mit einer großen Anzahl von Anfragen bombardiert, die er im schlimmsten Fall nicht mehr verarbeiten kann und dadurch abstürzt. Bei den verwendeten Datenpaketen ist zumeist der Absender gefälscht. Dadurch lässt sich der Urheber der Attacke nur schwer ermitteln. Im Falle von DDoS Angriffen nutzt der Angreifer Zombies, um seine Identität zu verbergen und das Bombardement zu verschärfen.

Nach dem Befall kopiert der Wurm den Eintrag „666 c:winntsystem32stormstart.bat“ in die Registries „HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices“ und „HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun“. Dadurch fährt er bei jedem Neustart mit hoch.

Administratoren werden zum Aufspielen des Patches aufgefordert. Sollte es dazu zu spät sein, hilft laut Symantec ein Löschen der genannten Files.