Code Red: Das Internet lebt noch
Die vom FBI befürchtete Überflutung des Internet mit dem Code-Red-Wurm hat nicht stattgefunden.
Die vom FBI befürchtete Überflutung des Internet mit dem Code-Red-Wurm hat nicht stattgefunden – bislang sind kaum Aktivitäten des Schädlings festzustellen. Dabei hätte es laut dem NIPC (National Infrastructure Protection Center) heute nacht um zwei Uhr deutscher Zeit zu einer weiteren großen Verbreitungswelle kommen sollen.
Viele Sicherheits- und Virusexperten haben dem NIPC jedoch bereits Panikmache unterstellt. David Perry von Trend-Micro erklärte gegenüber dem Nachrichtensender CNN, dass es durch den Wurm sicher einigen Betrieb im Internet geben würde, aber er rechnete nicht mit weit reichenden Folgen. Das NIPC zeigt sich von all dem unbeeindruckt und verbucht das Ausbleiben der Katastrophe als eigenen Erfolg – schließlich hätten die (sogar weltweit im Fernsehen ausgestrahlten) Warnungen die Administratoren sensibilisiert und dafür gesorgt, dass betroffene Rechner gepatcht wurden. Marc Maiffret, von eEye Digital Security, den Entdeckern der zugrunde liegenden Sicherheitslücke, wirft Microsoft und dem NIPC vor, viel zu spät reagiert zu haben. "Die haben wirklich bis zur letzten Minute gewartet. Die hätten viel mehr in der Woche zuvor unternehmen können", sagte er.
Dabei dürfte das Ausbleiben der Code-Red-Lawine einen viel einfacheren Grund haben: Bereits infizierte Rechner beteiligen sich nicht mehr an der Verbreitung. Das ergaben unter anderem Analysen bei Network Associates (NAI). "Offenbar wacht Code Red aus seiner Schlafroutine nicht mehr auf, wenn er sich im Vormonat bereits verbreitet hat", sagte Dirk Kollberg, Virusexperte bei NAI gegenüber heise online. Man weiß noch nicht, ob es sich dabei um einen Bug oder ein Feature handelt. Eine vollständige Entwarnung möchte man aber auch bei NAI noch nicht geben. Zum einen wurden laut Gerüchten schon sieben verschiedene Varianten von Code Red gesehen, die sich möglicherweise in ihren Verbreitungsroutinen unterscheiden. Zum anderen spielen andere Faktoren wie Systemdatum und -zeit eine Rolle. "Die Analysen werden erst in ein paar Tagen zeigen, inwieweit Code Red sich noch verbreitet. Auch wenn die große Welle ausgeblieben ist, sollten Administratoren sicherstellen, dass sie den von Microsoft bereitgestellten Patch auf betroffene IIS-Rechner eingespielt haben", sagte Kollberg.
Die momentane Entwicklung zeigt, dass man künftig noch mehr auf Sicherheitslücken achten muss – besonders bei Rechnern, die ständig mit dem Internet verbunden sind. Wenn Würmer wie Code Red vollautomatisch Sicherheitslücken ausnutzen, um sich weiterzuverbreiten, ist das eine ganz andere Dimension als vereinzelte "Hacker"-Angriffe. Und Code Red war mit seiner außer Gefecht gesetzten Schadroutine noch harmlos: Spätestens wenn solche Schädlinge die Dateien auf den befallenen Rechnern kompromittieren, müssen die Administratoren reagieren. (pab)
