10.09.2001 (Archiv)
Blue Code
Die Liste der bösartigen Programme, die Microsoft-spezifische Software angreift, ist um eine Kuriosität länger geworden.Der Blue Code getaufte Wurm, von dem mehrere Infektionen vor allem aus China gemeldet wurden, greift den Microsoft Internet Information Server (IIS) und den Schädling Code Red an.
Der von Kaspersky Labs gemeldete Schädling arbeitet ähnlich wie Code Red, aber versucht, durch die im Oktober 2000 bekannt gewordene Sicherheitslücke 'Web Directory Traversal' einzubrechen. Der Blue-Code-Wurm kopiert sich von einer bereits infizierten IIS Installation so auf die Serverfestplatte des Opfers und startet sich daraufhin.
Der Wurmcode erzeugt zudem auf dem Rootdirektory der C-Festplatte mehrere Dateien: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die ersten beiden sind Namen von Windows-Systemdateien, die der Wurm verwendet, um sich zu verstecken.
Die SVCHOST.EXE wird in der Registry als Autostart-Datei angelegt, damit der Wurm bei jedem Systemstart geladen wird. D.VBS greift hingegen Code-Red-Infektionen an und soll nach Angaben von Kaspersky Labs das System gegen neue Infektionen des Konkurrenzwurms immun machen. Bluecode beendet INETINFO.EXE und so auch aktive Code-Red-Kopien.
Um sich weiter zu verbreiten, sucht Blue Code nach dem Zufallsprinzip IP-Adressen aus, die darauf geprüft werden, ob der Zielrechner infiziert werden könnte. Diese Suche soll den infizierten IIS-Rechner deutlich verlangsamen, so Kaspersky Labs. Außerdem enthält der Blue Code eine Routine zur Durchführung eines DoS-Angriffs Denial auf Nsfocus.com zwischen 10.00 und 11.00 Uhr morgens.
Ihre Meinung dazu? Schreiben Sie hier!
Newsticker per eMail oder RSS/Feed!
Forum: Ihre Meinung dazu! Ins Forum dazu posten... |
RSS-Feeds und mehr