Blue-Code-Wurm greift Code Red und IIS-Server an
Der von Kaspersky Labs gemeldete Schädling arbeitet ähnlich wie Code Red, aber versucht, durch die im Oktober 2000 bekannt gewordene Sicherheitslücke "Web Directory Traversal" einzubrechen. Der Blue-Code-Wurm kopiert sich von einer bereits infizierten IIS Installation so auf die Serverfestplatte des Opfers und startet sich daraufhin.
Der Wurmcode erzeugt zudem auf dem Rootdirektory der C-Festplatte mehrere Dateien: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die ersten beiden sind Namen von Windows-Systemdateien, die der Wurm verwendet, um sich zu verstecken.
Die SVCHOST.EXE wird in der Registry als Autostart-Datei angelegt, damit der Wurm bei jedem Systemstart geladen wird. D.VBS greift hingegen Code-Red-Infektionen an und soll nach Angaben von Kaspersky Labs das System gegen neue Infektionen des Konkurrenzwurms immun machen. Bluecode beendet INETINFO.EXE und so auch aktive Code-Red-Kopien.
Um sich weiter zu verbreiten, sucht Blue Code nach dem Zufallsprinzip IP-Adressen aus, die darauf geprüft werden, ob der Zielrechner infiziert werden könnte. Diese Suche soll den infizierten IIS-Rechner deutlich verlangsamen, so Kaspersky Labs. Außerdem enthält der Blue Code eine Routine zur Durchführung eines DoS-Angriffs Denial auf www.nsfocus.com zwischen 10.00 und 11.00 Uhr morgens.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.