Was ist der Code Red Wurm?

Der Code Red Wurm ist ein selbst-vervielfältigendes Stück Software, das IIS Webserver über eine sehr bekannte Sicherheitslücke infiziert, die als IIS ISAPI Puffer Überlauf bekannt ist. Wenn der Host erst einmal infiziert ist, führt der Wurm diverse Aktionen durch, je nachdem um welche Version des Wurms es sich handelt, welche Sprache das System verwendet und welchen Wert die Systemuhr anzeigt. Der Wurm:

• durchsucht das Internet nach weiteren Servern, die infiziert werden können (alle Versionen.
• startet Service Verweigerungs Angriffe gegen die offizielle Webseite des Weißen Hauses (der ursprünglich Wurm und eine Variante).
• installiert eine Hintertür auf Ihrem Server, auf die vom Web aus zugegriffen werden kann (Version II)

Es gibt diverse bekannt Varianten des Wurms. Die ersten waren recht beschränkt in den angerichteten Schäden wegen Einschränkungen in wie er nach neuen Webservern zum Infizieren suchte. Die neueste Version, genannt Code Red II, öffnet eine Hintertür in Ihrem System und gewährt so jedermann Zugriff auf Ihren Server, selbst wenn Sie die ursprüngliche Sichereheitslücke, über die der Wurm auf Ihr System gelangte, schließen.

Warum ist dieser Wurm anders?

Dieser Wurm ist äußert aggresive in der Art und Weise, wie er nach einem Opfer-Host sucht. Eine infizierte Maschine durchsucht das Netzwerk nach weiteren IIS Servern, die kompromitiert werden können. Jeder Host, der infiziert wird, gesellt sich zu den anderen auf der Suche nach weiteren Opfern, was zu einer exponential ansteigende Zahl von Suchen führt.

Jetzt testen

Wenn Sie Ihren Browser auf dem selben System haben, auf dem Ihr Webserver läuft, klicken Sie einfach auf den folgenden Schalter, um festzustellen, ob Sie durch den Code Red Wurm gefährdet sind un ob Sie bereit mit Code Red II infiziert sind.

Wie kann ich mich wehren?

Der ursprünglich Wurm hat Ihrem System keinen wirklichen Schaden zugefügt (außer dass er Bandbreite verbraucht hat und Sie möglicherweise bei anderen System Verwaltern unbeliebt machte). Ein einfacher Neustart des Systems und Schließung der Sicherheitslücke sollte Ihr Problem lösen.

Der neueste Wurm ist nicht so harmlos. Obwohl der zweite Wurm nur Windows 2000 basierte System, auf denen IIS Server laufen, betrifft, öffnet er eine Hintertür zu Ihrem System, die die Datei "cmd.exe" freigibt für die Nutzung vom Web über zwei verschiedene Mechanismen. Hier finden Sie eine ausführliche Analyse des Wurms.

Die derzeit sicherste Vorgehensweise ist Ihr System komplett neu aufzubauen und angemessen zu schützen, indem Sie die erforderlichen Patches von Microsoft installieren. Dies mag drastisch erscheinen, aber bitte vergessen Sie nicht, dass ...

1. Ihr System bereits seit geraumer Zeit mit einem Problem belastet ist, dass andere möglicherweise in nicht offensichtlicher Weise bereits ausgenutzt haben.
2. wenn Ihr System mit einem der Code Red Würmer infiziert ist, dann hat er bereits aktive an andere Webserver ausposonauniert, dass Ihr System angreifbar ist, denn der darauf befindliche Wurm versucht andere System zu infizieren.

Das Sicherheits Bulletin, dass bezüglich dieses Wurms und den ausgenutzten Sicherheitslücken von Microsoft herausgegeben wurde, ist MS01-033.