Eine Gruppe von Mitgliedern der US-Regierung sowie private Sicherheitsexperten haben sich am Montag zusammen geschlossen, um gemeinsam vor dem Code Red-Wurm zu warnen. Dieser tritt am 1. August wieder in Aktion. Voraussichtlich gegen zwei Uhr MESZ sollen die Angriffe wieder starten.
„Wir haben Grund zu der Annahme, dass der durch die Verbreitung des Wurms erzeugte überdurchschnittlich hohe Datenverkehr die Funktion des Internet beeinträchtigen wird“, sagte der Chef des National Infrastructure Protection Center, Ronald Dick, während einer weltweit ausgestrahlten Pressekonferenz. Bei der Veranstaltung baten die Verantwortlichen dringend darum, einen von Microsoft erhältlichen Patch auf den Internet Information Servern zu installieren.
Der Wurm verbreitet sich, indem er besagte IIS angreift und nach einer durch einen Buffer Overflow im Index-Server hervorgerufenen Bug sucht. Wird er fündig, nistet er sich ein, ändert die Startseite der gehosteten Sites und versucht sich weiterzuverbreiten. Dabei scannt er eine zufällig erzeugte Liste von IP-Adressen und erzeugt dadurch einen immensen Traffic.
Der Code Red-Wurm geht nach einer genauen Zeittabelle vor: Vom ersten bis 28ten eines Monats sucht er nach verwundbaren Maschinen, ab dem 19ten greift er die frühere IP-Adresse der Whitehouse.gov-Site mit einer DoS-Attacke an und zu Ende des Monats ist er für wenige Tage inaktiv. Bei 350.000 Rechnern hatte der Wurm Experten zufolge seine höchste Verbreitungsstufe.
Mittlerweile gibt es auch eine neue, noch gefährlichere Variante des Wurms. Diese sucht nach verwundbaren Servern und merkt sich deren Adresse. Weitere Varianten sind laut dem Gründer der Sicherheitsfirma Internet Security Systems, Christopher Klaus, wahrscheinlich.
„Weil das Ding so analysiert und zerpflückt wurde, ist es sehr einfach, eine neue Variante zu erschaffen“, so Klaus. „Es wäre beispielsweise ziemlich leicht, den Wurm so zu manipulieren, dass er auf eine andere Adresse als whitehouse.gov zielt.“
Laut dem Sicherheitschef des Code Red-Entdeckers Eeye Digital Security, Marc Maiffret, ist der Wurm noch immer infektiös weil einige Server mit falschen Datumseinstellungen existieren: „Ehrlich, man braucht nur einen Computer mit falschen Zeit-Settings, der ein verwundbares System trifft und das Buschfeuer geht wieder los“, so Maiffret. Seinen Angaben zufolge gibt es noch etwa 2000 solcher Maschinen.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…