Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Blue Code kämpft gegen Code Red und IIS-Server

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

10.09.2001, aktualisiert 08.01.2009, 21288 Aufrufe

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet von einer neuen Malware unter dem Namen ?Blue Code?, die Web-Server unter Microsoft Internet Information Server (IIS)angreift. Momentan hat Kaspersky Lab einige Mitteilungen uber die Verbreitung des genannten Programms in China erhalten.

Genauso wie ?Code Red? infiziert der ?Blue Code? IIS-Server, aber nutzt dabei eine andere Lucke in dieser Plattform, die im Oktober 2000 gefunden wurde: Den Web Directory Traversal. Sein Vordringen findet auf folgende Weise statt: Der Wurm kriegt zunachst den Zugriff auf die Festplatte, lädt dorthin seine Tragerdatei vom fruher infizierten Computer herunter und startet sie.

Die Tragerdatei des Wurms schafft einige Dienstdateien im Wurzelverzeichnis der Festplatte C: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei sind reserviert und gehoren zu den Standard-Programmen von Windows 2000/NT. ?Blue Code? versucht also, seinen Aufenthalt im System zu verstecken.

Die schadliche Datei SVCHOST.EXE wird im Bereich des Auto-Ladens im System-Register von Windows registriert, so dass der Wurm nach jedem Rechner-Booten aktiv wird.

Die D.VBS-Datei tut ihrerseits eine Reihe von Schritten, die aktive Kopien des ?Code Red?-Wurms aus dem Speicher entfernen und einen Schutz gegen diesen Virus erstellen sollen. Unter anderem findet und deaktiviert er die INETINFO.EXE, die einen Zugriff auf WWW-Server gewahrleistet. Au?erdem verandert der ?Blue Code? die HTTP-Anfragen, um die etwaigen Versuche des ?Code Red?, in den Server einzudringen, zu neutralisieren. Der ?Blue Code? raumt also die Computer-Ressourcen fur seine Dateien.

Um sich weiter zu verbreiten, startet der Wurm 100 aktive Prozesse des IP-Adressen-Scannens und versucht, seine Kopie nach dem obenbeschriebenen Schema an die gefundenen entfernten Rechner einzufuhren. Solcher Uberfluss von zusatzlichen Prozessen kann die Funktionalitat des infizierten IIS-Servers wesentlich verringern.

?Blue Code? hat ebenfalls eine peinliche Nebenwirkung: Ab 10 bis an 11 Uhr morgens der Greenwich-Zeit fuhrt er einen DoS (Denial of Service)-Angriff von den infizierten Computern auf den Server http://www.nsfocus.com/.

Die Schutzprozeduren gegen ?Blue Code? sind bereits dem taglichen Update des Kaspersky? Anti-Virus hinzugefugt. Eine nahere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.

http://www.kaspersky.com
http://www.viruslist.com
Ähnliche Inhalte
Firewall
Sophos Red Site to Site
Frage von umountFirewall7 Kommentare

Hallo, Ich verzweifle bei der Einrichtung der Firewall Regeln zweier Netze. In jedem Netz steht eine Sophos XG Firewall, ...

RedHat, CentOS, Fedora
IBM übernimmt Red Hat
Ticker von KuemmelRedHat, CentOS, Fedora2 Kommentare

Ob das (diesmal) gut geht? ;-) Gruß Kümmel

Festplatten, SSD, Raid
WD Red Nasware 2.0 und 3.0
gelöst Frage von Xaero1982Festplatten, SSD, Raid4 Kommentare

Hallo Zusammen, ich hab in nem Dell-Server WD-Red Platten laufen. Eine ist kürzlich ausgestiegen und ich hab ihm Rahmen ...

Netzwerkgrundlagen

Sophos VPN RED Außenstelle Vlans Zentrale

Frage von opc123Netzwerkgrundlagen16 Kommentare

Hallo Zusammen, weiß hier jemand ob die Red´s von Sophos eine Funktion haben als Art Kopplung zu dienen wie ...

Neue Wissensbeiträge
Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 21 StundenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

DSL, VDSL
Ein Wechsel von einem DSL Anbieter zum anderen
Erfahrungsbericht von brammer vor 1 TagDSL, VDSL20 Kommentare

Hallo, diesmal bin ich glatt selber betroffen. nachdem ich in den letzten Jahren regelmäßig bei allen Anbietern angefragt habe ...

Sicherheit

Anatomie eines Super-GAUs - Erfahrungen eines IT-Securityberaters

Ticker von DerWoWusste vor 1 TagSicherheit5 Kommentare

Ein sehr unterhaltsamer Vortrag (58 min) von Mark Semmler. Abrufbar bis 31.10. ist ganz oben auf zu finden. Es ...

Sicherheit

Domänenübernahme war auf einfache Weise möglich

Ticker von DerWoWusste vor 1 TagSicherheit2 Kommentare

Mal wieder ein Fall von "OMG, wie einfach war das denn bitte?" Ein Skript zur Domänenübernahme ist seit langem ...

Heiß diskutierte Inhalte
Batch & Shell
GPO Powershell oder Batch mit Adminrechte ausführen
Frage von stoepsu77Batch & Shell22 Kommentare

Hallo Zusammen ich bin leicht am verzweifeln ich möchte über eine GPO den Registry Eintrag des Startlayouts ändern. und ...

DSL, VDSL
Ein Wechsel von einem DSL Anbieter zum anderen
Erfahrungsbericht von brammerDSL, VDSL20 Kommentare

Hallo, diesmal bin ich glatt selber betroffen. nachdem ich in den letzten Jahren regelmäßig bei allen Anbietern angefragt habe ...

LAN, WAN, Wireless
Captive Portal Unifi vs. PfSense
Frage von pipen1976LAN, WAN, Wireless19 Kommentare

Hallo liebe Community, wir betreiben seit ca. 3 Monaten ein Unifi WLAN-Netz mit 71 Access Points. Aktuell sind zwischen ...

Schulung & Training
Exchange Mailadmin - Infomaterial
Frage von HAinsaneSchulung & Training18 Kommentare

Hallo Administratoren, ich soll demnächst eine neue Stelle als Systemadmin speziell für die Weiterentwicklung der Exchange/Mail Umgebung antreten. Eigentlich ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...