zurück zum Artikel

Der Code-Red-Wurm tritt seit gestern in einer neuen Variante auf.

Der Code-Red-Wurm [1] tritt seit gestern anscheinend in mutierter Form auf. Während der Anti-Viren-Software-Hersteller Symantec [2] von CodeRed.v3 spricht, den man noch analysieren müsse, ist in diversen Newsgroups vom Auftauchen eines Code Red II [3] zu lesen.

Die Mutation nutzt die gleiche Sicherheitslücke in Microsofts Internet Information Server (IIS) und sollte daher gepatchten Systemen nicht gefährlich werden können. Der Wurm verfügt über einen geänderten IP-Scanning-Algorithmus, um Rechner zu finden, die noch infiziert werden können. Er generiert Zieladressen, die zur Hälfte aus dem gleichen Class-A-Netz stammen wie der befallene Rechner (zum Beispiel 192.x.y.z) und zu drei Achteln aus dem gleichen Class-B-Netz (192.168.x.y), was zu einer stärkeren Verbreitung im jeweiligen lokalen Netz beiträgt. Die restlichen IP-Adressen werden zufällig erzeugt. Weiterhin nistet sich Code Red II als "Explorer.exe" ins Stammverzeichnis der Laufwerke C: und D: ein, kopiert die Datei "cmd.exe" als "root.exe" ins Skripte-Verzeichnis und startet danach das betroffene System neu. Vermutlich ist der Wurm überdies in der Lage, die Windows File Protection abzuschalten. (lab)

URL dieses Artikels:
https://www.heise.de/-44562

Links in diesem Artikel:
[1] https://www.heise.de/news/Code-Red-fuer-das-Weisse-Haus-Update-40655.html
[2] http://www.symantec.com/
[3] http://www.unixwiz.net/techtips/CodeRedII.html

Copyright © 2001 Heise Medien