Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Blue Code kämpft gegen Code Red und IIS-Server

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

10.09.2001, aktualisiert 08.01.2009, 21192 Aufrufe

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet von einer neuen Malware unter dem Namen ?Blue Code?, die Web-Server unter Microsoft Internet Information Server (IIS)angreift. Momentan hat Kaspersky Lab einige Mitteilungen uber die Verbreitung des genannten Programms in China erhalten.

Genauso wie ?Code Red? infiziert der ?Blue Code? IIS-Server, aber nutzt dabei eine andere Lucke in dieser Plattform, die im Oktober 2000 gefunden wurde: Den Web Directory Traversal. Sein Vordringen findet auf folgende Weise statt: Der Wurm kriegt zunachst den Zugriff auf die Festplatte, lädt dorthin seine Tragerdatei vom fruher infizierten Computer herunter und startet sie.

Die Tragerdatei des Wurms schafft einige Dienstdateien im Wurzelverzeichnis der Festplatte C: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei sind reserviert und gehoren zu den Standard-Programmen von Windows 2000/NT. ?Blue Code? versucht also, seinen Aufenthalt im System zu verstecken.

Die schadliche Datei SVCHOST.EXE wird im Bereich des Auto-Ladens im System-Register von Windows registriert, so dass der Wurm nach jedem Rechner-Booten aktiv wird.

Die D.VBS-Datei tut ihrerseits eine Reihe von Schritten, die aktive Kopien des ?Code Red?-Wurms aus dem Speicher entfernen und einen Schutz gegen diesen Virus erstellen sollen. Unter anderem findet und deaktiviert er die INETINFO.EXE, die einen Zugriff auf WWW-Server gewahrleistet. Au?erdem verandert der ?Blue Code? die HTTP-Anfragen, um die etwaigen Versuche des ?Code Red?, in den Server einzudringen, zu neutralisieren. Der ?Blue Code? raumt also die Computer-Ressourcen fur seine Dateien.

Um sich weiter zu verbreiten, startet der Wurm 100 aktive Prozesse des IP-Adressen-Scannens und versucht, seine Kopie nach dem obenbeschriebenen Schema an die gefundenen entfernten Rechner einzufuhren. Solcher Uberfluss von zusatzlichen Prozessen kann die Funktionalitat des infizierten IIS-Servers wesentlich verringern.

?Blue Code? hat ebenfalls eine peinliche Nebenwirkung: Ab 10 bis an 11 Uhr morgens der Greenwich-Zeit fuhrt er einen DoS (Denial of Service)-Angriff von den infizierten Computern auf den Server http://www.nsfocus.com/.

Die Schutzprozeduren gegen ?Blue Code? sind bereits dem taglichen Update des Kaspersky? Anti-Virus hinzugefugt. Eine nahere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.

http://www.kaspersky.com
http://www.viruslist.com
Ähnliche Inhalte
RedHat, CentOS, Fedora
IBM übernimmt Red Hat
Information von KuemmelRedHat, CentOS, Fedora2 Kommentare

Ob das (diesmal) gut geht? ;-) Gruß Kümmel

Festplatten, SSD, Raid
WD Red IO Retry - Storage Pool
Frage von H3GE3406Festplatten, SSD, Raid6 Kommentare

Hallo, ich kämpfe seit zwei Wochen mit einem ungewöhnlichen Problem bei meinem Fileserver (Server 2012 R2) 6x WD Red ...

Festplatten, SSD, Raid
WD Red Nasware 2.0 und 3.0
gelöst Frage von Xaero1982Festplatten, SSD, Raid4 Kommentare

Hallo Zusammen, ich hab in nem Dell-Server WD-Red Platten laufen. Eine ist kürzlich ausgestiegen und ich hab ihm Rahmen ...

Firewall
Sophos Firewall und Red VPN
gelöst Frage von MichaelW84Firewall2 Kommentare

Hallo zusammen, ich habe eine Sophos XG Firewall und mehrere Red 15 Devices für unsere Standortvernetzung im Einsatz. Nun ...

Neue Wissensbeiträge
Humor (lol)
Und wie seid Ihr gegen Cyberattacken gewappnet?
Information von DerWoWusste vor 22 StundenHumor (lol)5 Kommentare

aber wo ist der Hammer? :-)

Sicherheit
Ein weiterer Microsoft-Stirnklatscher
Information von DerWoWusste vor 1 TagSicherheit7 Kommentare

Habe gerade einen Artikel zu einem Sicherheitsproblem gefunden, welches mir zu seiner Zeit (gepatcht 2015) wohl durchgerutscht ist. Es ...

Windows 10
Upgradepfade Windows 10 LTSC
Erfahrungsbericht von Datenreise vor 1 TagWindows 10

Nur eine kurze Info, für diejenigen, die es interessiert, da es hierzu im Netz aus nachvollziehbaren Gründen nicht allzu ...

Administrator.de Feedback
Wartungsarbeiten heute Nacht (Update)
Information von Frank vor 2 TagenAdministrator.de Feedback10 Kommentare

Hallo User, durch Umbauarbeiten in unserem Rechenzentrum (am Backbone) kann es heute Nacht (14-15.01.2019) zu kurzen Ausfällen unserer Seite ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 - kein Boot mehr nach Domänenaustritt
gelöst Frage von Ghost108Windows 1025 Kommentare

Hallo zusammen, habe hier eine Windows 10 Maschine, die ich gerne aus der Domäne austreten lassen möchte. Nach Austritt ...

Windows 10
Windows 10 1803 - nicht identifiziertes Netzwerk - kein Login an Domäne möglich
Frage von Tomy389Windows 1022 Kommentare

Hallo Zusammen, ich hoffe zu dem Thema gibt es nicht schon einen Thread aber ich sollte eigentlich schon alles ...

Exchange Server
Microsoft Exchange Ser ver 2016 CU 8 auf den neuesten Stand bringen
gelöst Frage von Hendrik2586Exchange Server21 Kommentare

Hallo an euch alle. :) Kurze Frage. Ich habe hier einen Exchange Server wie o.g. Problem ist das wir ...

Microsoft
SFirm 4.0 auf Terminalserver startet für jeden angemeldeten Benutzer diverse Dienste
Frage von Frank84Microsoft20 Kommentare

Hallo zusammen, wir verwenden Sfirm 4.0 auf einem Terminalserver (der SQL Server ist auf einem separaten Server), das Problem ...