Web

 

Code Red: 300.000 Infektionen und neue Tarnung

23.07.2001

MÜNCHEN (COMPUTERWOCHE) - Der erst am vergangenen Freitag entdeckte Wurm "Code Red" treibt nun in einer neuen Variante sein Unwesen. Diese hängt sich an andere Stellen des Internet Protocol (IP) als die erste Version, um sich zu verbreiten. Die Sicherheitsspezialisten von eEye Digital Security berichten außerdem, dass die neue Variante die auf den befallenen Servern gehosteten Web-Seiten nicht mehr ändert. Da er sich auch nicht auf die Festplatte schreibt, sondern nur im RAM einnistet, ist der Schädling kaum noch zu entdecken. Auch das Ziel der zweiten Variante ist es, DDos-Attacken (Distributed Denial of Service) auf den Web-Server des Weißen Hauses zu starten.

Die erste Variante des Wurms hat Schätzungen zufolge rund 300.000 Server infiziert. Dabei sind nach Aussage des Netzwerkausrüsters Cisco DSL-Router der Serie "600" abgestürzt. Sie ließen sich jedoch problemlos neu starten. Anwender berichten, dass Code Red auch Netzwerkdrucker befallen hat, die daraufhin nicht mehr ansteuerbar waren oder Papierstaus produzierten.

Von dem Wurm befallen werden Rechner, auf denen die englischen Versionen von Microsofts IIS 4 und 5 (Internet Information Server) läuft. Der Wurm nutzt eine Sicherheitslücke im Index-Server von Windows NT 4 und Windows 2000. Es gibt bereits einen Patch von Microsoft (Computerwoche online berichtete).