CERT: Wurm befällt Solaris und IIS

Das Computer Emergency Response Team (CERT) warnt vor einem Wurm, der bekannte Sicherheitslücken in Suns Solaris und im Internet Information Server (IIS) von Microsoft ausnützt. Der sadmin/IIS-Wurm befällt erst Solaris und versucht anschließend IIS-Systeme zu infizieren.

Derzeit ist unklar, ob der Wurm in freier Wildbahn unterwegs ist. Die Antivirenhersteller zumindest führen den Wurm nicht auf ihren Listen. Denis Zenkin, Sprecher von Kaspersky Lab, ist über den CERT-Alarm ziemlich sauer. Entweder gäbe es den Wurm nicht in freier Wildbahn oder aber CERT verhalte sich ziemlich unkooperativ gegenüber den Antivirenherstellern. Denn der Branchencodex sieht vor, dass sich die Antivirenhersteller beim Auftauchen von Viren gegenseitig informieren, damit jeder ein Update seiner Virendefinitionen erstellen kann.

Laut CERT nutzt der Wurm eine seit zwei Jahren bekannte Sicherheitslücke in Solaris-Systemen aus. Ein ungeprüfter Puffer im "sadmin"-Programm öffnet die Lücke, daher der Name des Wurms. Sun bietet dafür Patches an (Dezember 99/Bulletin 191). Hat der Wurm diese Aufgabe erledigt nutzt er laut CERT eine ebenfalls seit Monaten bekannte Lücke im IIS (4 und 5) aus (Web Server Folder Traversal-Lücke). Microsoft bietet dafür auch einen Patch. Die infizierten Solaris-Systeme dienen dazu weitere Solaris- und IIS-Systeme aufzuspüren und zu infizieren. Die Microsoft-Server werden laut der Beschreibung von CERT dazu missbraucht, um Webseiten mit antiamerikanischen Parolen zu verschandeln.

Weitere Informationen zum Thema erhalten Sie in unseren Virengrundlagen sowie in den Reports Entwicklung der digitalen Plagegeister und Viren unter Linux. (uba)