Warnung vor Code Red 2.0
Auch wenn ihn sein unbekannter Schöpfer Code Red II benannt hat, so handelt es sich dabei um einen völlig neuen Wurm, der am Samstag erstmals in freier Wildbahn gesichtet wurde.
Mit dem ursprünglichen Code Red hat die Version 2.0 nur den Angriffspunkt gemeinsam und dass er ausschließlich Microsofts Internet Information Server [IIS], die unter Windows 2000 laufen, infiziert.
Anders als sein namensgleicher Vorgänger, der die befallenen Rechner nur insofern kompromittiert, als er sie zu DoS-Attacken nutzt, ist Code Red 2.0 auch zu seinem Wirtsrechner bösartig.
"Code Red"-Infizierung nahe dem HöhepunktEin Trojaner namens explorer.exe
Sobald er einen Server befallen hat, kopiert er die Datei CMD.EXE ["Ausführen"], legt sie als ROOT.EXE in \inetpub\scripts und einem weiteren Verzeichnis ab und greift damit andere Rechner an.
Der Wurm verbreitet sich, indem er bevorzugt alle im selben Subnetz [A-Class] befindlichen IP-Adressen scannt, aber auch nach außen geht.
Sodann spielt er ein so genanntes Trojanisches Pferd ein, das auf den bekannten Namen explorer.exe hört und den Rechner nach außen weit öffnet.
Totale Übernahme
Danach kann jeder, der das Netz nach infizierten Rechnern
absucht, auf dem befallenen Server beliebige Befehle ausführen.
Die Schwachstelle ist längst bekanntFestplatte formatieren
Die IIS-Versionen von NT 4.0 und WinXP sind gegen Code Red 2.0 anscheinend immun. Die Verbreitung dürfte allerdings um ein Mehrfaches schneller sein als jene von Code Red.
Um ein von Code Red 2.0 infiziertes System verlässlich zu säubern, rät Sicherheitsexperte Russ Cooper, die Festplatte neu zu formatieren.