Code Red-Virus baut Terrornetz auf

Sicherheitsexperten von Arbor Networks präsentierten auf der Cansecwest-Konferenz in Vancouver, Kanada, Daten, die einen bevorstehenden Angriff auf wichtige Websites vermuten lassen. Arbor-Mitarbeiter Dug Song berichtete, dass sich der Code Red-Virus in den vergangenen neun Monaten unbemerkt auf etwa 18.000 Rechnern weltweit eingenistet habe. Diese Systeme, sogenannte Zombie-Hosts, würden nur darauf warten, auf Befehl des Autors hin eine konzertierte Aktion zu starten.

„Wir sind sehr besorgt über die Möglichkeit eines großangelegten Distributed Denial-of-Service (DDoS)-Angriffs über die Code Red-Servers“, sagte Song. Bei DoS-Attacken greift der Täter mit sehr großen Datenmengen den Server einer Site an. Dieser kann die Flut nicht bewältigen und geht zu Boden. Ein „normaler“ Computer kann solche Massen nicht erzeugen. Deshalb nutzen Angreifer unbemerkt die Maschinen ahnungsloser Dritter. Diese werden wie in diesem Falle durch Code Red zu so genannten Zombie-Hosts. Bei einem gleichzeitigen Losschlagen dieser Zombies spricht man von einer Distributed Denial-of-Service-Attacke (DDoS).

Song berichtete, sein Unternehmen habe das Internet sieben Monate lang auf Code Red II hin abgesucht und besagte 18.000 Systeme gefunden. Bereits Mitte Juli vergangenen Jahres hatte die erste Variante von Code Red 250.000 Systeme befallen. Das Virus stellte vor allem eine Gefahr für die Microsoft-Betriebssysteme Windows NT und 2000 sowie die Webserver-Software IIS dar. Weitere Versionen des Wurms folgten, die bekannteste davon war Code Red II. Bereits im August 2001 hatte die Londoner Sicherheitsbehörde UNIRAS vor „Trojanischen Pferden“ durch den Virus gewarnt, die der Hacker für einen späteren Fernzugriff auf die Systeme nutzen könne (ZDNet berichtete laufend).

Nach Angaben von Song ist die Deaktivierung des Virus alles andere als einfach. „Wenn wir versuchen, die Systeme herunterzufahren, verschickt sich der Wurm selbst an alle erreichbaren Adressen.“