Ein Wurm gegen Bill Gates
Der DoS.Storm-Wurm befällt schlecht gepflegte Microsoft-IIS-Server, auf denen wichtige Sicherheitspatches nicht aufgespielt wurden.
Von diesen Maschinen aus startet er einen Denial-of-Service-Angriff gegen Microsofts Web- und Mail-Server: Zusätzlich bombardiert er den Softwaregiganten mit einem Strom obszöner Nachrichten an die Adresse gates@microsoft.com.
Microsoft-IIS-Servern Version 4 und 5
DoS.Storm startet auf dem befallenen System zunächst einen
FTP-Thread und scannt 10 Millionen IP-Adressen. Dabei sucht er nach
Microsoft-IIS-Servern der Versionen 4 und 5, auf denen der Patch
gegen die Web-Server-Folder-Traversal-Sicherheitslücke nicht
implementiert wurde.
Web-Server-Folder-Traversal-SicherheitslückeEintrag in die Registry
Um seine Ausführung auch nach einem Neustart des Systems sicherzustellen, modifiziert DoS.Storm die Registry. In den Run- und RunServices-Bereichen von HKEY_LOCAL_MACHINE legt er den Eintrag "666 c:\\winnt\\system32\\storm\\start.bat" ab.
Anschließend startet er einen DoS -Angriff gegen www.microsoft.com. Zusätzlich initiiert er eine E-Mail-Bombing-Session an die Adresse gates@microsoft.com. Sie beschießt Microsofts Mailserver mit einem konstanten Strom von Nachrichten des Inhalts "Fuck You!".
Da es sich bei gates@microsoft.com um keine gültige Mailbox handelt, landen alle Nachrichten als Bounce Mails wieder beim Absender.
Sicherheitsstufe "Medium"
Die Bedrohung durch DoS.Storm stuft man bei Symantec, wo
DOS.Storm identifiziert wurde, als "Medium" ein. Dazu trägt nicht
zuletzt die Tatsache bei, dass bereits seit Mitte Oktober letzten
Jahres für die Sicherheitslücke, die der Wurm ausnutzt, ein Patch
vorliegt.
Symantec Security Updates