München (ots) - Das Forschungszentrum von Network Associates McAfee AVERT hat einen neuen Wurm im Internet festgestellt Es handelt sich hierbei um einen Wurm namens "Code Red" oder auch "Bady".
Code Red schreibt sich direkt in den Speicher und wird dort ausgeführt.
"Der Virus nutzt einen bekannten Bufferoverflow in der ISAPI.DLL des Microsoft IIS 2.0 sowie des Windows 2000 Indexing Service auf Windows NT und Windows 2000 aus", erklärt Virenexperte Dirk Kollberg von Network Associates. "Er schreibt sich direkt in den Speicher und wird dort automatisch ausgeführt. Der Virus verbreitet sich somit ohne dass ein Nutzer einen Doppelklick ausführen muss. Der Worm startet 100 Threats auf der Maschine, die auf zufällig ausgewählten IP-Adressen versuchen weitere Server zu infizieren. Dadurch ist Code Red äußerst aggressiv."
Zwei Stunden nach der Infizierung ersetzt der Wurm auf befallenen Servern alle gehosteten Websites mit der folgenden HTML-Seite:
Welcome to http://www.worm.com !
Hacked by Chinese!
Nach 10 Stunden wird diese Funktion beendet und es ist wieder die ursprüngliche Webseite zu sehen. Der Worm ist jedoch weiterhin im Speicher aktiv und versucht weitere Maschinen zu infizieren.
Zwischen dem 20. und dem 28. startet der Worm eine Denial of Service Attack auf eine bestimmte IP Adresse indem er große Datenmengen an die Adresse schickt. Ein Denial of Service Angriff wird von diesem Worm auf eine bestimmte IP Adresse ausgeführt. Dies bedeutet, dass der Worm große Mengen an Daten an einen Rechner mit dem Ziel sendet, dass dieser nicht mehr erreichbar ist. Diese Daten, die der Virus von infizierten Systemen aus versendet, sind nicht unerheblich und können, abhängig von der Internetanbindung, diese stark beeinträchtigen.
Microsoft hat bereits am 16.06.2001 einen Patch zur Verfügung gestellt, der die Sicherheitslücke in den entsprechenden Systemen schließt. Dieser Patch ist unter folgender Adresse verfügbar:
http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.
Wird der Patch auf einem infizierten System eingespielt und der Rechner neu gestartet, so ist der Virus entfernt und das System ist vor weitern Angriffen geschützt.
Webserver müssen auf dem neusten Stand gepatcht sein, damit dieser Wurm bei ihnen keinen Schaden anrichten kann.
Behilflich hierbei ist der CyberCop Scanner aus dem Network Associates Bereich PGP sein. Dieses Programm ist dazu ausgelegt Schwachpunkte in der Konfiguration, sowie ungepatchte oder unzureichend gepatchte Systeme zu erkennen. Erkennt das Programm Schwachpunkte, erhält man detaillierte Informationen sowohl über den gefundenen Schwachpunkt als auch genaue Anleitungen zu den notwendigen Schritten zur Behebung dieses Problems.
Informationen zu diesen Produkten finden Sie unter folgender Adresse :
http://www.pgp.com/products/cybercop-scanner/default.asp
Kurzprofil von Network Associates (NAI)
Network Associates Inc. (NAI) ist eines der zehn größten Softwareunternehmen weltweit und führender Anbieter von unternehmensweiten Lösungen im Bereich Netzwerk-Sicherheit und -Management. Das Unternehmen mit dem Hauptsitz Santa Clara, Kalifornien, USA, wird an der Nasdaq unter dem Kürzel NETA geführt.
ots Originaltext: Network Associates
Im Internet recherchierbar: http://www.presseportal.de
