Blue Code nimmt IIS und Code Red aufs Korn

Blue Code versucht wie sein Vorgänger eine DoS-Attacke zu starten und sucht nach anderen potentiellen Opfern. Blue Code verbreitet sich laut Kaspersky Labs derzeit nur in China.

Die "Web Server Folder Traversal"-Lücke im IIS 4 und 5, die Blue Code laut Kaspersky Labs ausnutzt, ist im Oktober 2000 entdeckt und von Microsoft mittels Patch geschlossen worden (siehe Security Bulletin MS00-078).

Um sich zu vermehren, startet der Wurm auf dem befallenen Rechner 100 Prozesse und sucht mit zufälligen IP-Adressen nach weiteren Opfern. 50 Prozent der IP-Adressen werden nach dem Muster "aa.bb.??.??" erzeugt, wobei "aa" und "bb" den Anfang der IP-Adresse des befallenen Rechners darstellen. Damit versucht der Wurm, alle Rechner eines Netzwerks ausfindig zu machen. Die übrigen IP-Adressen sind tatsächlich zufällig erzeugt. Ein Indiz für einen möglichen Befall kann für Administratoren sein, dass die Suche einen Webserver spürbar langsamer macht.

Findet der Wurm einen Webserver, der nicht gegen einen Angriff gefeit ist, lädt er sich auf die Festplatte und beginnt sein Werk, indem er die Dateien SVCHOST.EXE, HTTPEXT.DLL and D.VBS im Laufwerk C: erzeugt. Die Datei SVCHOST.EXE trägt der Wurm außerdem in die Registry ein (HKLM\\Software\\Microsoft\\ Windows\\CurrentVersion\\ Run Domain Manager = C:\\svchost.exe). Anders als Code Red wird Blue Code damit bei jedem Systemstart aktiv.

Mit D.VBS versucht der Wurm nach den Erkenntnissen von Kaspersky Labs, den Konkurrenten Code Red auszuschalten. Das VB-Script suche und beende die INETINFO-Anwendung und damit auch Code Red. Zusätzlich ändere das Script den Prozess für bestimmte Anfragen über HTTP. Damit sollen die Webserver gegen Code Red immun werden.

Wie Code Red versucht auch Blue Code eine DoS-Attacke zu starten. Das Opfer ist nicht das Weiße Haus sondern die Webseite der chinesischen Sicherheitsexperten von NSFOCUS. Täglich zwischen 10 und 11 Uhr wird diese Seite mit Anfragen bombardiert. (uba)