Angriff gegen Whitehouse.gov

Der von E-Eye entdeckte Wurm, der sich auf Attacken gegen Internet Information Server (IIS) von Microsoft (Börse Frankfurt: MSF) spezialisierte (ZDNet berichtete), hat offensichtlich noch eine weitere Funktion außer möglichst viele Maschinen infizieren.

Der Code änderte die Startseite aller auf dem IIS gehosteten Websites in den Text „Welcome to http://www.worm.com Hacked by Chinese!“ und hat heute Nacht versucht, die Site des Weißen Hauses mit einer Distributed Denial of Service (DDoS)-Attacke in die Knie zu zwingen. Die Administratoren der Site waren über die gefährliche Ladung des „Code Red“ genannten Wurms jedoch informiert und änderten die Ziel-IP-Adresse der Web-Site von 198.137.240.91 in 198.137.240.92.

Ein Sprecher des Weißen Hauses wollte die offensichtliche Tat nicht bestätigen, erklärte jedoch, es seien „vorbeugende Maßnahmen“ getroffen worden, um den Angriff um 17 Uhr PDT (Pacific Daylight Time) abzuwehren.

Sicherheitsexperten schätzen, dass insgesamt bereits 200.000 Server von dem Code Red-Problem betroffen sind. Das CERT hat gestern auch noch eine Warnung zu dem Thema veröffentlicht. Eigentlich hatte Microsoft bereits vor einem Monat einen Patch auf der Web-Site zur Verfügung gestellt. Doch offensichtlich hatten zahlreiche System-Administratoren die Bedeutung unterschätzt. Wie die Beobachter des Vorfalls, darunter auch die offiziellen Entdecker des IIS-Sicherheitslochs, E-Eye, berichten, befällt der Code Red-Wurm ausschließlich englische Serverversionen. Auf lokalisierten Sprachversionen verfällt er in einen „Schlafzustand“.

Zunächst sah es so aus, als würde der Wurm im Rahmen seiner DDoS-Attacke etwa alle vier Stunden 400 MByte große Datenpakete versenden. Der Autor von Code Red ließ seinen Code jedoch erst nach einer erfolgreichen Verbindung suchen, bevor die Daten übermittelt wurden. Da die Web-Admins des Weißen Hauses die IP-Adresse gewechselt hatten, kam diese aber nie zustande, so dass nur eine weitaus geringere Informationsmenge übermittelt wurde.

Der Code Red-Wurm verbreitet sich seit Dienstag rapide im Internet und führt teilweise zu Engpässen im Netz. Experten hegen den Verdacht, dass jemand den Code modifiziert hat, um gängige Sicherheitsmaßnahmen zu umgehen. Der ursprünglich verbreitete Wurm sollte seine Aktivitäten eigentlich nach der Attacke auf das Weiße Haus um 17 Uhr PDT am Donnerstag, also Mitternacht nach der coordinated universal time (UTC), einstellen. Allerdings gibt es Anzeichen, dass einige infizierte Maschinen auch jetzt noch versuchen, den Code zu verbreiten.

Sogar Microsoft musste zugeben, dass „eine geringe Anzahl“ seiner Server mit Code Red infiziert war. Gemäß der Analyse von E-Eye wird der Wurm bis heute, Freitag, versuchen, sich auf neue Server zu replizieren. Vom 20. bis 28. Juli werde der Code wieder Angriffe gegen die alte IP-Adresse des Weißen Hauses richten. Und ab 1. August könnte der Zyklus wieder von vorne beginnen.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)