Eine Gruppe von Mitgliedern der US-Regierung sowie private Sicherheitsexperten haben sich am Montag zusammen geschlossen, um gemeinsam vor dem Code Red-Wurm zu warnen. Dieser tritt am 1. August wieder in Aktion. Voraussichtlich gegen zwei Uhr MESZ sollen die Angriffe wieder starten.
„Wir haben Grund zu der Annahme, dass der durch die Verbreitung des Wurms erzeugte überdurchschnittlich hohe Datenverkehr die Funktion des Internet beeinträchtigen wird“, sagte der Chef des National Infrastructure Protection Center, Ronald Dick, während einer weltweit ausgestrahlten Pressekonferenz. Bei der Veranstaltung baten die Verantwortlichen dringend darum, einen von Microsoft erhältlichen Patch auf den Internet Information Servern zu installieren.
Der Wurm verbreitet sich, indem er besagte IIS angreift und nach einer durch einen Buffer Overflow im Index-Server hervorgerufenen Bug sucht. Wird er fündig, nistet er sich ein, ändert die Startseite der gehosteten Sites und versucht sich weiterzuverbreiten. Dabei scannt er eine zufällig erzeugte Liste von IP-Adressen und erzeugt dadurch einen immensen Traffic.
Der Code Red-Wurm geht nach einer genauen Zeittabelle vor: Vom ersten bis 28ten eines Monats sucht er nach verwundbaren Maschinen, ab dem 19ten greift er die frühere IP-Adresse der Whitehouse.gov-Site mit einer DoS-Attacke an und zu Ende des Monats ist er für wenige Tage inaktiv. Bei 350.000 Rechnern hatte der Wurm Experten zufolge seine höchste Verbreitungsstufe.
Mittlerweile gibt es auch eine neue, noch gefährlichere Variante des Wurms. Diese sucht nach verwundbaren Servern und merkt sich deren Adresse. Weitere Varianten sind laut dem Gründer der Sicherheitsfirma Internet Security Systems, Christopher Klaus, wahrscheinlich.
„Weil das Ding so analysiert und zerpflückt wurde, ist es sehr einfach, eine neue Variante zu erschaffen“, so Klaus. „Es wäre beispielsweise ziemlich leicht, den Wurm so zu manipulieren, dass er auf eine andere Adresse als whitehouse.gov zielt.“
Laut dem Sicherheitschef des Code Red-Entdeckers Eeye Digital Security, Marc Maiffret, ist der Wurm noch immer infektiös weil einige Server mit falschen Datumseinstellungen existieren: „Ehrlich, man braucht nur einen Computer mit falschen Zeit-Settings, der ein verwundbares System trifft und das Buschfeuer geht wieder los“, so Maiffret. Seinen Angaben zufolge gibt es noch etwa 2000 solcher Maschinen.
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.