Eine Gruppe von Mitgliedern der US-Regierung sowie private Sicherheitsexperten haben sich am Montag zusammen geschlossen, um gemeinsam vor dem Code Red-Wurm zu warnen. Dieser tritt am 1. August wieder in Aktion. Voraussichtlich gegen zwei Uhr MESZ sollen die Angriffe wieder starten.
„Wir haben Grund zu der Annahme, dass der durch die Verbreitung des Wurms erzeugte überdurchschnittlich hohe Datenverkehr die Funktion des Internet beeinträchtigen wird“, sagte der Chef des National Infrastructure Protection Center, Ronald Dick, während einer weltweit ausgestrahlten Pressekonferenz. Bei der Veranstaltung baten die Verantwortlichen dringend darum, einen von Microsoft erhältlichen Patch auf den Internet Information Servern zu installieren.
Der Wurm verbreitet sich, indem er besagte IIS angreift und nach einer durch einen Buffer Overflow im Index-Server hervorgerufenen Bug sucht. Wird er fündig, nistet er sich ein, ändert die Startseite der gehosteten Sites und versucht sich weiterzuverbreiten. Dabei scannt er eine zufällig erzeugte Liste von IP-Adressen und erzeugt dadurch einen immensen Traffic.
Der Code Red-Wurm geht nach einer genauen Zeittabelle vor: Vom ersten bis 28ten eines Monats sucht er nach verwundbaren Maschinen, ab dem 19ten greift er die frühere IP-Adresse der Whitehouse.gov-Site mit einer DoS-Attacke an und zu Ende des Monats ist er für wenige Tage inaktiv. Bei 350.000 Rechnern hatte der Wurm Experten zufolge seine höchste Verbreitungsstufe.
Mittlerweile gibt es auch eine neue, noch gefährlichere Variante des Wurms. Diese sucht nach verwundbaren Servern und merkt sich deren Adresse. Weitere Varianten sind laut dem Gründer der Sicherheitsfirma Internet Security Systems, Christopher Klaus, wahrscheinlich.
„Weil das Ding so analysiert und zerpflückt wurde, ist es sehr einfach, eine neue Variante zu erschaffen“, so Klaus. „Es wäre beispielsweise ziemlich leicht, den Wurm so zu manipulieren, dass er auf eine andere Adresse als whitehouse.gov zielt.“
Laut dem Sicherheitschef des Code Red-Entdeckers Eeye Digital Security, Marc Maiffret, ist der Wurm noch immer infektiös weil einige Server mit falschen Datumseinstellungen existieren: „Ehrlich, man braucht nur einen Computer mit falschen Zeit-Settings, der ein verwundbares System trifft und das Buschfeuer geht wieder los“, so Maiffret. Seinen Angaben zufolge gibt es noch etwa 2000 solcher Maschinen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…