CodeRed/SirCam: Virtuelle Würmer und reale Schädlinge

Die virtuellen Würmer und ganz realen Schädlinge CodeRed und SirCam rasen durch das Internet. Beide allerdings profitieren dabei von Unvorsichtigkeit – nur sind dieses Mal nicht nur die Anwender, sondern zumindest bei CodeRed auch die Administratoren unvorsichtig.

Der Server-Wurm CodeRed existiert mittlerweile in vier Versionen. CodeRed.v2 verfügt über eine nur leicht geänderte Scanroutine und verhunzt keine Webseiten mehr, trat aber schon während der ersten Verbreitungswelle im Juli auf und unterscheidet sich ansonsten nicht von der Ur-Version.

Vor einigen Tagen tauchte CodeRed.v3 auf, auch CodeRedII genannt. Dieser verbreitet sich mittels eines anderen IP-Scanning-Algorithmus noch schneller und installiert zudem eine Hintertür auf den betroffenen Servern. Diese kann außerdem nicht einfach dadurch entfernt werden, dass man die angelegten Dateien ("Explorer.exe", "Root.exe") löscht. Einzelheiten dazu gibt es bei eEye.

Die neueste Form des CodeRed-Wurms, Version vier, soll zusätzlich DoS-Attacken gegen Windows-98-Rechner ausführen. Dabei wird der betroffene Computer mit einer Vielzahl von ARP-Requests gequält, was zu einer hohen Prozessorauslastung führt und den Rechner zeitweise unbenutzbar macht.

Allen CodeRed-Varianten gemeinsam ist, dass sie eine Sicherheitslücke in Microsofts Internet Information Server (IIS) ausnutzen, die mit einem seit Juni verfügbaren Patch geschlossen werden kann. Wer keinen Server betreibt oder den Patch aufgespielt hat, ist nicht gefährdet. Alle CodeRed-Versionen befallen laut eEye nur unter Windows 2000 betriebene Server, NT 4 soll abstürzen, wenn der Wurmcode ausgeführt wird.

Network Associates (NAI) schätzt nach einer Hochrechnung die Anzahl gegenwärtig durch CodeRed infizierter Hosts auf 250.000 bis 300.000. Damit hat der zweite Ausbruch von CodeRed den ersten überflügelt. "Momentan ist nicht davon auszugehen, dass die Infektionsrate sinkt. Die neuen Varianten von CodeRed zeichnen sich durch eine weitaus effizientere Verbreitungsroutine aus als die Ur-Form", sagte Toralv Dirro von NAI gegenüber heise online.

SirCam befällt befällt im Unterschied zu CodeRed bevorzugt den harmlosen und vor allem unvorsichtigen Normalanwender. Dieser Wurm, der unter anderem private Dateien verschickt, ist schon seit einigen Wochen bekannt, breitet sich aber noch immer rasend schnell aus. Nach US-Berichten soll er ein geheimes Dokument des ukrainischen Präsidenten, das auch einen Zeitplan seiner Auftritte an verschiedenen Orten enthielt, an den Betreiber einer ukrainischen Webseite verschickt haben. Da wundert es nicht, wenn SirCam bereits in der Sophos-Liste der meistverbreiteten Viren und Würmer mit 65 Prozent weit vor dem mit zehn Prozent zweitplatzierten "Magistr"-Virus liegt.

Siehe dazu auch: (lab)

• Microsoft reagiert auf CodeRedII
• Falsche Spur zu angeblich holländischen CodeRed-Autoren
• Microsofts Hotmail-Server vom CodeRed befallen
• Code Red: AT&T sperrt private Web-Server
• Südkoreaner warnen vor Code Red III
• c't-Webseiten zum Schutz vor Viren und Würmern