07.08.2001

DER WURM

Bildquelle: ORF ON

Code Red II im Chello-Netz aktiv

Der Umstand, dass Code Red II dieselbe Schwachstelle in Microsofts Internet Information Server [IIS] ausnützt, die schon Code Red genutzt hatte, dürfte den Ausschlag gegeben haben, dass im professionellen Bereich bis jetzt keine größeren Schäden gemeldet wurden.

Das bestätigen sowohl die Virenspezialisten von Ikarus Software wie auch Christian Wally von XSoft.

Ähnlich wie hier zu Lande das Chello-Netz, sind in den USA die Internet-Kunden der Kabelnetze betroffen. Ein Sprecher von AT&T Broadband, dem größten Kabelnetzbetreiber der USA, sagte sogar, dass die Portscan-Aktivitäten des Wurms die Performance in den AT&T-Netzen beeinträchtigen würden.

Was seit gestern im österreichischen Netz auffällig zugenommen hat, sind Scans auf Port 80, wie sie Code Red II nützt, um weitere ungeschützte Server zu identifizieren. Das Gros der Portscans kam nach übereinstimmenden Aussagen aus dem Chello-Netz, wo die meisten halbprofessionell betriebenen Server stehen.

Code Red II seit Samstag "in the wild"

Firmenserver offenbar gesichert

Dort, wo es mit der Sicherheit eben nicht so genau genommen werden muss, hat sich der Wurm offenbar einigermaßen stark verbreitet. Wie viele Server tatsächlich befallen worden sind, konnte ebenso wenig eruiert werden wie seine Herkunft.

Der überwiegende Teil der Firmenserver dürfte spätestens seit Code Red mit dem seit Juni bei Microsoft verfügbaren Patch - die FuZo berichtete - gesichert worden sein.

Die Schwachstelle im IIS
Der Indexing Service Filter [.ida] der ISAPI-Schnittstelle versäumt es, Eingaben via WWW einem "Bounds Check" zu unterziehen, wodurch es möglich ist, einen "Buffer Overflow" zu provozieren, der den Server einem Angreifer vollständig ausliefert.

Der Patch von Microsoft

China, Südkorea, Hongkong

Das chinesische Ministerium für öffentliche Sicherheit teilte heute mit, Rechner von Regierungsagenturen und großen Firmen seien infiziert.

Ein Manager der Pekinger Firma Rising Technology sagte, in China seien mehrere Dutzend Computer von Code Red II angegriffen worden, obwohl sie mit Betriebssystemen in Chinesisch arbeiteten.

In Südkorea seien die Server mehrerer Regierungsstellen infiziert und mindestens ein Netzwerk lahm gelegt worden, teilte das dortige Ministerium für Inneres und Verwaltung mit.

In Hongkong gebe es eine Infektion und drei Berichte über versuchte Hacker-Angriffe, teilte das Koordinierungszentrum für Notfallteams mit.