Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

18.05.2001 - 

Laxer Umgang mit Sicherheitsanforderungen wird bestraft

Die Virenwelle rollt weiter durch das Web

MÜNCHEN (CW) - Wieder einmal hat ein VBS-Virus die Anwender verunsichert. Administratoren von alten Sun-Systemen schlagen sich derweil mit dem Wurm "Sadmind" herum.

Die Geschwindigkeit seiner Verbreitung in Asien und Australien ließen den Virus "Homepage" zunächst als Alptraum erscheinen, doch es kam nicht so schlimm. Wie bei den Vorgängern "Iloveyou" und "Kurnikova" handelte es sich um ein Attachment des Namens Homepage.html.vbs, übertragen mit der Aufforderung "Hi! You''ve got to see this page! It''s really cool :o)". Wenn ein Anwender von Microsofts E-Mail-Programm "Outlook" den Anhang anklickte, verschickte sich die Mail an sämtliche Anschriften im Adressbuch und rief dann vier Pornoseiten auf.

Schadenshöhe umstrittenAls Initiatoren des Virus bezeichneten sich in einem anonymen Schreiben drei Holländer. Sie seien neidisch gewesen auf die Aufmerksamkeit, die die Hacker-Gruppe "OnTheFly" mit dem Kurnikova-Virus gefunden habe. Außerdem hätten sie Werbung für die Sex-Sites machen wollen. Doch die dürfte kontraproduktiv gewesen sein, weshalb es Zweifel an der Authentizität des Bekennerschreibens gibt.

Ob der Virus größeren Schaden angerichtet hat, ist umstritten. Die Hamburger Unternehmensberatung Mummert und Partner kritisierte, das Grassieren des Schädlings belege, dass "in den Chefetagen die Lehren aus (bisherigen) Schäden nicht gezogen wurden" und die Mitarbeiter wenig Disziplin im Umgang mit Mails zeigen. Insbesondere sei das Administrations-Management "vielfach mangelhaft", weil es die Standardeinstellungen der Schutzprogramme übernehme, was die verräterische Dateiendung vbs ausblendet. Deshalb konnten viele Anwender nicht ahnen, was sie mit der scheinbar harmlosen Datei Homepage.html anklickten.

Nicht nur User sind dummDemgegenüber erklärte das Marktforschungsunternehmen Media Transfer, der Homepage-Virus habe nur jedem zehnten PC-Anwender Probleme bereitet, während es bei der Attacke von Iloveyou noch jeder fünfte gewesen sei. Aus Großbritannien wurde eine starke Belastung der Mail-Server gemeldet, in den USA war man bereits gewarnt, als der Arbeitstag begann.

Ohne menschliche Nachhilfe durch Anklicken eines Dateianhangs kommt ein Wurm aus, der Server mit dem Administrationsprogramm "Solstice" für Suns Solaris-Systeme, Version 2.7 oder früher, oder mit dem "Internet Information Server" (IIS) für Windows NT befällt. Sein Name Sadmind/IIS bezieht sich auf eine im letzten Juni bekannt gewordene Sicherheitslücke, die Zugang zum Root des Systems gewährt.

Längst haben beide Hersteller entsprechende Patches bereitgestellt. Doch das scheinen viele Administratoren zu ignorieren. Eine anonyme Mail behauptet, der Wurm habe weltweit 8800 Server befallen. Auf den ersten Blick scheint die Wirkung nicht dramatisch zu sein. Der Wurm verbreitet sich selbständig auf weitere Rechner und ändert Web-Seiten (Defacement) in die Nachricht "fuck USA Government fuck PoizonBOx".

Bei PoizonBOx handelt es sich um eine nordamerikanische Hacker-Gruppe, die sich während der Affäre um das in Hainan notgelandete US-Spionageflugzeug eine Art Cyberkrieg mit chinesischen Hackern geliefert hatte. Die Chinesen hatten Ende April einseitig einen Waffenstillstand erklärt. Mithin ist nicht klar, wer sich jetzt mit PoizonBOx anlegt. Unbeantwortet ist auch die wichtigere Frage: Haben Hacker mit dem Wurm Hintertürchen eingerichtet, um die befallenen Systeme für andere Aktionen nutzen zu können?