Code Red mutiert (Update)

Der Code-Red-Wurm tritt seit gestern anscheinend in mutierter Form auf. Während der Anti-Viren-Software-Hersteller Symantec von CodeRed.v3 spricht, den man noch analysieren müsse, ist in diversen Newsgroups vom Auftauchen eines Code Red II zu lesen.

Die Mutation nutzt die gleiche Sicherheitslücke in Microsofts Internet Information Server (IIS) und sollte daher gepatchten Systemen nicht gefährlich werden können. Der Wurm verfügt über einen geänderten IP-Scanning-Algorithmus, um Rechner zu finden, die noch infiziert werden können. Er generiert Zieladressen, die zur Hälfte aus dem gleichen Class-A-Netz stammen wie der befallene Rechner (zum Beispiel 192.x.y.z) und zu drei Achteln aus dem gleichen Class-B-Netz (192.168.x.y), was zu einer stärkeren Verbreitung im jeweiligen lokalen Netz beiträgt. Die restlichen IP-Adressen werden zufällig erzeugt. Weiterhin nistet sich Code Red II als "Explorer.exe" ins Stammverzeichnis der Laufwerke C: und D: ein, kopiert die Datei "cmd.exe" als "root.exe" ins Skripte-Verzeichnis und startet danach das betroffene System neu. Vermutlich ist der Wurm überdies in der Lage, die Windows File Protection abzuschalten. (lab)