"Code Red" - Wurm zielt auf das Weiße Haus

Ein neuer Wurm namens "Code Red" macht sich die bekannte ".ida"-Lücke im Webserver (IIS) von Microsoft zu Nutze. Code Red hat nach Erkenntnis von eEye-Digital Security die üble Angewohnheit, sich massenhaft zu verbreiten und die US-Regierung unter der Adresse whitehouse.gov zu bombardieren.

Anscheinend findet der Wurm massenhaft Windows-NT/2000-Server vor, die nicht gegen die von eEye-Digital vergangenen Monat entdeckte Lücke abgesichert sind. Die Lücke im IIS kann mittels Bufferoverflow genutzt werden, um Code auf Systemlevel auszuführen, wir berichteten. Microsoft bietet Patches dafür an, die laut der detaillierten Analyse von eEye-Digital auch den Wurm beseitigen. Das zugehörige Microsoft-Bulletin MS01-33 nebst Links zu den Patches finden Sie hier.

Seinen Namen hat Code Red bekommen, weil er die Zeile "Hacked by Chinese" in sich trägt. Code Red versucht übrigens, diese Zeile auf gehackten Webseiten darzustellen, diese Schadensfunktion kommt aber nur bei Betriebssystemen mit US-englischer Sprache zum Tragen.

Programmiert ist der Wurm auf mehrere Ziele: Zuerst nistet er sich in das System ein. Dann startet er 100 Prozesse, über die versucht wird, weitere Rechner über zufällig erzeugte IP-Adressen zu infizieren. Rein zufällige IP-Adressen? Da sind sich die Sicherheitsexperten bei der Analyse des Wurms nicht so sicher, obwohl der Wurm tatsächlich massenhaft IP-Adressen erzeugt. Der Wurm transportiert aber bei seiner Verbreitung die IP-Adressen der bereits infizierten Rechner als statische Komponente mit.

Das könnte zwar die Basis einer DoS-Attacke sein, da bereits infizierte Rechner dadurch erneut kontaktiert werden. Die Effektivität der Verbreitung würde diese Methode aber dämpfen, weil die Liste bereits infizierter Rechner immer länger wird. Deshalb vermutet eEye-Digital, dass dahinter eine andere Besorgnis erregende Absicht steckt. Da alle infizierten Rechner nochmals in der IP-Liste auftauchen, ist darin auch die IP-Adresse des ersten Absenders enthalten, der den Wurm in Umlauf gebracht und möglicherweise geschrieben hat. Für diesen Hacker ist es nun ein Leichtes, etwa mittels Sniffer am Port 80 zu protokollieren, welche Rechner (lies: IP-Adressen) versuchen, die eigene Adresse zu kontaktieren. Daraus ergäbe sich eine Liste aller infizierten Rechner.

Neben der Verbreitung und dem möglichen Protokollieren von IP-Adressen infizierter Rechner bringt Code Red weitere Schadensfunktionen mit. Eine davon ist das Ändern von Webseiten auf dem infizierten Server. Diese Routine wird laut eEye-Digital aber nur gestartet, wenn es die Sprache des Betriebssystems "US-Englisch" ist, was der Wurm prüft. Wie eEye-Digital detailliert beschreibt, versucht der Wurm, bei US-Betriebssystemen Anfragen nach Webpages mit einer HTML-Seite zu beantworten, die dann "Hacked by Chinese" anzeigt.

Dass der Wurm eine genaue Zeiteinteilung hat, ist ein weiteres Phänomen. Code Red ist datumsgesteuert. Der Schichtplan des Wurms sieht laut Analyse in groben Zügen so aus: Vom 1. bis 19. eines Monats Infizieren und Verbreiten; vom 20. bis 27 das Weiße Haus attackieren; vom 28. bis Monatsende Ruhen.

Bei der Attacke auf das Weiße Haus, die laut Zeitplan am heutigen Freitag beginnen würde, startet Code Red eine Session und schickt in einer Schleife einzelne Bytes an die IP-Adresse von whitehouse.gov. Nach etwa 98.000 "Umdrehungen" (18.000 hex) macht der Wurm vier Stunden Pause und beginnt dann erneut mit der Attacke.

Die Erkenntnisse von eEye-Digital über die Zahl der infizierten Rechner schwanken zwischen 15.000 und horrenden 196.000. Genug, um mit gleichzeitigen Anfragen die Server des Weißen Hauses lahm zu legen, wenn der Plan des Hackers tatsächlich aufgeht. (uba)