Worm/CodeRed

Der Worm/CodeRed nutzt eine Sicherheitslücke des Microsoft Internet Information Sever (IIS) aus, um sich zu verbreiten. Sollte der Wurm ein Server infiziert haben, sucht er nach anderen angreifbaren Servern, um diese zu infizieren.

Damit der “Code Red“-Wurm das System infizieren kann, müssen folgende Vorraussetzungen erfüllt sein:

-   Microsoft Windows NT 4.0 oder Windows 2000 mit IIS 4.0 oder IIS 5.0

-   Cisco CallManager, Unity Server, uOne, ICS7750, Building Broadband Service Manager

Sollte ein Rechner von dem Wurm infiziert sein, ist die Datei C:\notworm. auf der Festplatte vorhanden.

Der “Code Red“ besitzt folgende Schadensroutinen:

1. Der Wurm baut eine Verbindung über den TCP Port 80 zu 100 zufällig gewählten IP Adressen auf und versucht sich dorthin zu versenden.
2. Sollte das Systemdatum des Rechners zwischen den 20. und 28. Tag eines Monats betragen, startet “Code Red“ eine DoS (Denial-of-Service) Attacke einer Website der US-Regierung (www1.whitehouse.gov)
3. Wenn die Infektion erfolgreich war, werden die infizierten Server vom Wurm auf die Standardsprache Englisch zurückgestellt. Weiterhin werden auf angeforderten Seiten folgende Nachrichten ausgegeben:
   
      HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

Microsoft hat bereits einen Patch zum Schließen der Sicherheitslücke auf folgender Website bereitgestellt:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

 

  weitere Virenbeschreibungen
  Virenkunde