Administratoren, die in den letzten 17 Monaten kumulative Patches oder Service Packs für den IIS einsetzten, haben das Einfallstor für den Code Red-Wurm bereits blockiert. Signaturen der Antivirus-Software für die Würmer Code Red I und Code Red II erkennen und blockieren auch diese Variante.
Patchen & Entfernen
Links zu einem kumulativen Patch finden sich unter MS01-044. Dieser Patch sollte auf allen betroffenen IIS-Servern installiert werden. Wer nur den älteren Patch für die von Code Red ausgenutzte Buffer-Overflow-Sicherheitslücke braucht, findet diesen unter MS01-033.
Microsoft hat zwar längst einen Patch für diese Sicherheitslücke veröffentlicht, doch wer diesem Code Red-Entfernungs-ToolCode Red-Entfernungs-Tool nicht traut, kann auch einen Blick auf die aktualisierte Webseite vom Symantec Security Response zu Code Red werfen. Nach Angaben des Unternehmens erkennt und entfernt dessen bereits verfügbares Code Red-Entfernungs-Tool (FixCRed.exe) auch die neue Variante, d. h. es findet die Hintertür von Code Red II und Code Red.F (Trojan VirtualRoot) auf allen Systemen. Interessant ist dabei, dass die Webseite von Microsoft nicht ausdrücklich darauf hinweist, dass sein Tool auch gegen Code Red.F wirkt, im Gegensatz zur Webseite mit dem Tool von Symantec.
Alle Spuren von Code Red zu beseitigen, kann ein mühseliges Unterfangen sein, wenn man nicht auf ein entsprechendes Tool zurückgreift. Wer diese Aufgabe trotzdem manuell erledigen will oder muss, findet bei Symantec eine detaillierte Anleitung zum manuellen Entfernen.
Schlussbemerkung
Als er zum ersten Mal auftauchte, war Code Red der sich bis dato am schnellsten ausbreitende Wurm. Eine Vielzahl von Systemen war für ihn anfällig und wurde rasch infiziert. Bei dieser aktuellen Variante konnte ich die Ausbreitung zwei Tage lang verfolgen, ehe ein kritischer Level erreicht war. Dies dürfte vor allem daran gelegen haben, dass die Mehrzahl der Installationen inzwischen gepatcht oder zumindest mit einem Antivirus-Programm geschützt sind.
Da der IIS auf einigen Windows 2000-Rechnern standardmäßig installiert ist, obwohl er gar nicht verwendet wird, und weil er auch auf vielen im Webdesign eingesetzten Systemen vorhanden ist, kann es durchaus vorkommen, dass die meisten der dieses Mal infizierten Rechner vor allem deshalb angreifbar sind, weil Benutzer und Administratoren nicht einmal wissen, dass der IIS installiert ist. Daher haben sich diese Anwender natürlich nicht um entsprechende Patches gekümmert. Allerdings gibt es keine Entschuldigung für das Fehlen einer Antivirus-Software. Die übrigen infizierten Systeme dürften auf unerfahrene Administratoren zurückzuführen sein oder auf Firmen, die nicht einmal über einen professionellen Administrator verfügen, der weiß, wie man richtig mit Patches umgeht.
|
Page: 1 2
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…