Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.07.2001 - 

Internet-Wurm infizierte über 300 000 Server

Alarmstufe Rot für Weißes Haus

WASHINGTON (IDG) - Ein Wurm mit dem Namen "Code Red" treibt im Internet sein Unwesen. Innerhalb kürzester Zeit befiel der Schädling rund 300 000 Server, die dann eine DDoS-Attacke auf den Web-Server des Weißen Hauses starteten.

Der Programmierer des Wurms Code Red nutzt für seine Angriffe eine Sicherheitslücke in Microsofts "Internet Information Server" (ISS) 4 und 5. Diese Verwundbarkeit durch eine bestimmte Art von "Buffer-overflow"-Angriffen war bereits Mitte Juni entdeckt und Microsoft mitgeteilt worden. Das Softwarehaus brachte daraufhin relativ schnell einen Patch heraus. Dennoch konnte der Wurm innerhalb kürzester Zeit über 300000 Server infizieren, für Sicherheitsexperten ein Indiz dafür, dass es zahlreiche Administratoren mit den Sicherheits-Updates für ihre Web-Server nicht so genau nehmen.

Findet der Wurm einen verwundbaren Server, so verunstaltet er jede Web-Seite auf diesem Rechner mit dem Text "Welcome to http://www.worm.com! Hacked by chinese!".

Viele SchwachstellenAuf Hosts, deren Standardsprache nicht Englisch ist, unterlässt der digitale Schädling eine Verunstaltung der Seiten, scannt aber trotzdem die IP-Adressen. Von diesen schnappt sich der Wurm 100 Adressen und untersucht sie auf etwaige Schwachstellen, um sich weiter zu verbreiten. Als letzten Schritt startet der Plagegeist dann an jedem 20. eines Monats einen DDoS-Angriff (DDoS = Distributed Denial of Service) auf die Internet-Seite des Weißen Hauses.

Dem Angriff des Wurms, auf dessen Programmierer es bis Redaktionschluss keine Hinweise gab, fielen nicht nur Microsoft-Server zum Opfer. Anwenderberichten zufolge waren auch Cisco-DSL-Router der Serie 600 sowie etliche Netzdrucker mit IP-Adresse von der Attacke betroffen.

Kaum hatten die Sicherheitsexperten Code Red analysiert, da erfolgte die zweite Angriffswelle. Eine um 13 Byte geänderte Variante trieb ihr Unwesen. Im Gegensatz zur Ursprungsversion verändert diese die Web-Seiten nicht mehr. Ferner schreibt sie auch nicht auf die Festplatte des betroffenen Servers, sondern nistet sich im RAM ein, um eine Entdeckung zu erschweren.