DoS.Storm: Wurm attackiert Bill Gates

Der DoS.Storm-Wurm befällt schlecht gepflegte Microsoft-IIS-Server, auf denen wichtige Sicherheitspatches nicht aufgespielt wurden. Von diesen Maschinen aus startet das Virus einen Denial-of-Service-Angriff gegen Microsofts Web- und Mail-Server: Zusätzlich bombardiert er den Softwaregiganten mit einem Strom obszöner Nachrichten an die Adresse gates@microsoft.com.

DoS.Storm startet auf dem befallenen System zunächst einen FTP-Thread und scannt 10 Millionen IP-Adressen. Dabei sucht er nach Microsoft-IIS-Servern der Versionen 4 und 5, auf denen der Patch gegen die Web-Server-Folder-Traversal-Sicherheitslücke nicht implementiert wurde. Findet der Wurm einen solchen Rechner, kopiert er sich unter Ausnutzung dieses Lecks auf das betreffende System.

Um seine Ausführung auch nach einem Neustart des Systems sicherzustellen, modifiziert DoS.Storm die Registry. In den Run- und RunServices-Bereichen von HKEY_LOCAL_MACHINE legt er den Eintrag "666 c:\\winnt\\system32\\storm\\start.bat" ab. Anschließend startet er einen DoS-Angriff gegen www.microsoft.com. Zusätzlich initiiert er eine E-Mail-Bombing-Session an die Adresse gates@microsoft.com. Sie beschießt Microsofts Mailserver mit einem konstanten Strom von Nachrichten des Inhalts "Fuck You!".

Da es sich bei gates@microsoft.com um keine gültige Mailbox handelt, landen alle Nachrichten als Bounce Mails wieder beim Absender. Laut Symantec, wo DOS.Storm identifiziert wurde, zieht die hohe Verkehrsbelastung durch Scanning, E-Mail-Bombing und die Bounces auch die befallene Maschine deutlich in Mitleidenschaft. Somit lässt sich der Wurm recht einfach erkennen. Die Bedrohung durch DoS.Storm stuft man bei Symantec als "Medium" ein. Dazu trägt nicht zuletzt die Tatsache bei, dass bereits seit Mitte Oktober letzten Jahres für die Sicherheitslücke, die der Wurm ausnutzt, ein Patch vorliegt.

Hintergrundinformationen zu Würmern und Viren finden sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen sowie unsere Tests zu Virenscannern und Personal Firewalls. (jlu)