Code Red-Nachfolger in Sicht

Sicherheitsexperten machen sich derzeit Gedanken über den neuen x.c-Wurm, der ein erst kürzlich entdecktes Sicherheitsloch in einem unter Unix populären Telnet-Dienst ausnutzt. Offensichtlich versuchen die Autoren von Viren, sich verstärkt den Zeitmangel von Systemadministratoren zu Nutze zu machen, die oft nicht die Zeit haben, um sofort jeden verfügbaren Patch aufzuspielen.

„Das wird genauso losgehen wie bei Code Red, weil die Virenautoren wissen, dass zahlreiche Maschinen verwundbar sind“, sagte der Sicherheits-Systemanalyst bei MIS Corporate Defence Solutions, Mark Read. „Das ist der sicherste Weg, einen Virus zu verbreiten, denn die Leute müssen nicht mehr auf irgendwelche Anhänge doppelklicken.“

Bereits Ende August hat das National Infrastructure Protection Centre (NIPC) des FBI eine Warnung über den Wurm herausgegeben. Die Experten von Securityfocus haben jetzt mitgeteilt, die Verbreitung des Wurms sei gestoppt, da er zur Neuinfektion auf eine mittlerweile gelöschte Datei auf einem polnischen Webserver zugreifen müsse. Doch es ist unbekannt, wie viele Systeme bereits von dem Wurm befallen wurden. Betroffen sind Maschinen, die mit Solaris, SGI IRIX oder Open BSD arbeiten. Der Code nutzt einen Buffer overflow im Telnetd-System aus, versucht dann den x.c genannten Quellcode von dem polnischen Webserver auf den Rechner zu kopieren und sich so auf dem neuen Wirts-Server einzunisten.

Da x.c nur eine begrenzte Anzahl von Systemen befällt, gilt er nicht als große Bedrohung. „Das könnte aber eine Test-Version gewesen sein oder der Wurm war falsch programmiert“, so Read. Die nächste Version könnte weitere Betriebssysteme, die Telnetd in der Standard-Konfiguration enthalten, befallen, wie beispielsweise Red Hat 7.0, warnten Experten.