0
Blue Code kämpft gegen Code Red und IIS-Server
Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet von einer neuen Malware unter dem Namen ?Blue Code?, die Web-Server unter Microsoft Internet Information Server (IIS)angreift. Momentan hat Kaspersky Lab einige Mitteilungen uber die Verbreitung des genannten Programms in China erhalten.
Genauso wie ?Code Red? infiziert der ?Blue Code? IIS-Server, aber nutzt dabei eine andere Lucke in dieser Plattform, die im Oktober 2000 gefunden wurde: Den Web Directory Traversal. Sein Vordringen findet auf folgende Weise statt: Der Wurm kriegt zunachst den Zugriff auf die Festplatte, lädt dorthin seine Tragerdatei vom fruher infizierten Computer herunter und startet sie.
Die Tragerdatei des Wurms schafft einige Dienstdateien im Wurzelverzeichnis der Festplatte C: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei sind reserviert und gehoren zu den Standard-Programmen von Windows 2000/NT. ?Blue Code? versucht also, seinen Aufenthalt im System zu verstecken.
Die schadliche Datei SVCHOST.EXE wird im Bereich des Auto-Ladens im System-Register von Windows registriert, so dass der Wurm nach jedem Rechner-Booten aktiv wird.
Die D.VBS-Datei tut ihrerseits eine Reihe von Schritten, die aktive Kopien des ?Code Red?-Wurms aus dem Speicher entfernen und einen Schutz gegen diesen Virus erstellen sollen. Unter anderem findet und deaktiviert er die INETINFO.EXE, die einen Zugriff auf WWW-Server gewahrleistet. Au?erdem verandert der ?Blue Code? die HTTP-Anfragen, um die etwaigen Versuche des ?Code Red?, in den Server einzudringen, zu neutralisieren. Der ?Blue Code? raumt also die Computer-Ressourcen fur seine Dateien.
Um sich weiter zu verbreiten, startet der Wurm 100 aktive Prozesse des IP-Adressen-Scannens und versucht, seine Kopie nach dem obenbeschriebenen Schema an die gefundenen entfernten Rechner einzufuhren. Solcher Uberfluss von zusatzlichen Prozessen kann die Funktionalitat des infizierten IIS-Servers wesentlich verringern.
?Blue Code? hat ebenfalls eine peinliche Nebenwirkung: Ab 10 bis an 11 Uhr morgens der Greenwich-Zeit fuhrt er einen DoS (Denial of Service)-Angriff von den infizierten Computern auf den Server http://www.nsfocus.com/.
Die Schutzprozeduren gegen ?Blue Code? sind bereits dem taglichen Update des Kaspersky? Anti-Virus hinzugefugt. Eine nahere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.
http://www.kaspersky.com
http://www.viruslist.com
Die Tragerdatei des Wurms schafft einige Dienstdateien im Wurzelverzeichnis der Festplatte C: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei sind reserviert und gehoren zu den Standard-Programmen von Windows 2000/NT. ?Blue Code? versucht also, seinen Aufenthalt im System zu verstecken.
Die schadliche Datei SVCHOST.EXE wird im Bereich des Auto-Ladens im System-Register von Windows registriert, so dass der Wurm nach jedem Rechner-Booten aktiv wird.
Die D.VBS-Datei tut ihrerseits eine Reihe von Schritten, die aktive Kopien des ?Code Red?-Wurms aus dem Speicher entfernen und einen Schutz gegen diesen Virus erstellen sollen. Unter anderem findet und deaktiviert er die INETINFO.EXE, die einen Zugriff auf WWW-Server gewahrleistet. Au?erdem verandert der ?Blue Code? die HTTP-Anfragen, um die etwaigen Versuche des ?Code Red?, in den Server einzudringen, zu neutralisieren. Der ?Blue Code? raumt also die Computer-Ressourcen fur seine Dateien.
Um sich weiter zu verbreiten, startet der Wurm 100 aktive Prozesse des IP-Adressen-Scannens und versucht, seine Kopie nach dem obenbeschriebenen Schema an die gefundenen entfernten Rechner einzufuhren. Solcher Uberfluss von zusatzlichen Prozessen kann die Funktionalitat des infizierten IIS-Servers wesentlich verringern.
?Blue Code? hat ebenfalls eine peinliche Nebenwirkung: Ab 10 bis an 11 Uhr morgens der Greenwich-Zeit fuhrt er einen DoS (Denial of Service)-Angriff von den infizierten Computern auf den Server http://www.nsfocus.com/.
Die Schutzprozeduren gegen ?Blue Code? sind bereits dem taglichen Update des Kaspersky? Anti-Virus hinzugefugt. Eine nahere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.
http://www.kaspersky.com
http://www.viruslist.com
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104
Url: https://administrator.de/contentid/104
Printed on: April 19, 2024 at 11:04 o'clock
