"Code Red" für das Weiße Haus (Update)

Ein neuer Wurm verbreitet sich seit gestern stark im Internet: Der "Code Red" getaufte Schädling infiziert Rechner, die die seit einem Monat bekannte Sicherheitslücke im Microsoft Indexing Service aufweisen. Betroffen sind damit alle Windows-NT- und 2000-Systeme mit dem Microsoft Internet Information Server (IIS) 4.0 oder 5.0. auf dem der von Microsoft bereitgestellte Patch für den Indexing Service nicht installiert ist. Infizierte Rechner weisen eine veränderte Website mit der Zeile "HELLO!" im title- und "Hacked by Chinese!" im body-Bereich auf.

Code Red befällt die betroffenen Rechner über eine direkte TCP/IP-Verbindung auf Port 80, dabei schreibt er sich zu keiner Zeit in irgendeiner Form auf die Festplatte – der Schädling residiert lediglich im Speicher der infizierten Computer. Diese Eigenart hebelt zwar herkömmliche Virenscanner aus, allerdings lässt sich der Wurm dadurch auf einfache Weise manuell entfernen: Administratoren müssen dazu den erwähnten Patch einspielen und anschließend den Computer rebooten. Ironischerweise haben offenbar auch die Administratoren bei Microsoft gepennt und ihren IIS auf www.windowsupdate.microsoft.com nicht gepatched: Nach Angaben der Sicherheits-Mailingliste Bugtraq war der Windowsupdate-Server gestern zwischen 22 und 24 Uhr ebenfalls von dem Wurm infiziert.

Neben der Verbreitungsroutine enthält Code Red zudem noch eine direkte Angriffsfunktion: bei einer Version des Wurms versuchen zwischen 20 und 24 Uhr GMT alle infizierten Rechner einen distributed-Denial-of-Service-Angriff auf die Website des Weißen Hauses. Die ursprüngliche Version sollte wohl eigentlich nur bis zum Freitag diese DoS-Attacken ausführen. Nach einem Bericht des Online-Nachrichtendienstes CNet haben die Administratoren im Weißen Haus allerdings rechtzeitig reagiert und die IP-Adresse der Website geändert, sodass kein Angriff durchgekommen ist. (pab)