Code Red II gefährlicher als das Original

Mit Code Red II alias Code Red v.3 kursiert seit dem Wochenende eine Mutation des Original-Wurms Code Red. Verschiedenen Sicherheitsspezialisten zufolge ist der neue Wurm gefährlicher als das Original, da er den Remote-Zugriff auf den betroffenen Server ermöglicht.

Demnach installiert Code Red II eine Hintertür, über die Hacker Kontrolle über den betroffenen Server erlangen könnten, indem sie das Passwort ändern. Auf diese Weise sei auch der Zugriff auf Dateien und deren Manipulation möglich, berichtet unter anderem Computer Associates. Laut Security Focus ist der neue Wurm aber nur schwer zu entdecken, da er sich nach zwei Tagen automatisch löscht.

Wie das Original nutzt der Wurm-Mutant die bekannte ".ida"-Lücke im Webserver (IIS) von Microsoft mittels Buffer-Overflow, um Code auf Systemlevel auszuführen (wir berichteten). Betroffen sind allerdings nur Systeme, auf denen Windows 2000 und NT 4.0 installiert sind. Microsoft bietet dafür aber bereits seit einem Monat Patches an, welche die Lücken sowohl für den Original-Wurm als auch Code Red II schliessen. Das zugehörige Microsoft-Bulletin MS01-33 nebst Links zu den Patches finden Sie hier.

Code Red ist Mitte Juli erstmals aufgetaucht und soll binnen Stunden 300.000 Rechner befallen haben. Er veranlasste DoS-Attacken auf die Webseite des Weißen Hauses. (jma)