Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Blue Code kämpft gegen Code Red und IIS-Server

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

10.09.2001, aktualisiert 08.01.2009, 21242 Aufrufe

Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, berichtet von einer neuen Malware unter dem Namen ?Blue Code?, die Web-Server unter Microsoft Internet Information Server (IIS)angreift. Momentan hat Kaspersky Lab einige Mitteilungen uber die Verbreitung des genannten Programms in China erhalten.

Genauso wie ?Code Red? infiziert der ?Blue Code? IIS-Server, aber nutzt dabei eine andere Lucke in dieser Plattform, die im Oktober 2000 gefunden wurde: Den Web Directory Traversal. Sein Vordringen findet auf folgende Weise statt: Der Wurm kriegt zunachst den Zugriff auf die Festplatte, lädt dorthin seine Tragerdatei vom fruher infizierten Computer herunter und startet sie.

Die Tragerdatei des Wurms schafft einige Dienstdateien im Wurzelverzeichnis der Festplatte C: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei sind reserviert und gehoren zu den Standard-Programmen von Windows 2000/NT. ?Blue Code? versucht also, seinen Aufenthalt im System zu verstecken.

Die schadliche Datei SVCHOST.EXE wird im Bereich des Auto-Ladens im System-Register von Windows registriert, so dass der Wurm nach jedem Rechner-Booten aktiv wird.

Die D.VBS-Datei tut ihrerseits eine Reihe von Schritten, die aktive Kopien des ?Code Red?-Wurms aus dem Speicher entfernen und einen Schutz gegen diesen Virus erstellen sollen. Unter anderem findet und deaktiviert er die INETINFO.EXE, die einen Zugriff auf WWW-Server gewahrleistet. Au?erdem verandert der ?Blue Code? die HTTP-Anfragen, um die etwaigen Versuche des ?Code Red?, in den Server einzudringen, zu neutralisieren. Der ?Blue Code? raumt also die Computer-Ressourcen fur seine Dateien.

Um sich weiter zu verbreiten, startet der Wurm 100 aktive Prozesse des IP-Adressen-Scannens und versucht, seine Kopie nach dem obenbeschriebenen Schema an die gefundenen entfernten Rechner einzufuhren. Solcher Uberfluss von zusatzlichen Prozessen kann die Funktionalitat des infizierten IIS-Servers wesentlich verringern.

?Blue Code? hat ebenfalls eine peinliche Nebenwirkung: Ab 10 bis an 11 Uhr morgens der Greenwich-Zeit fuhrt er einen DoS (Denial of Service)-Angriff von den infizierten Computern auf den Server http://www.nsfocus.com/.

Die Schutzprozeduren gegen ?Blue Code? sind bereits dem taglichen Update des Kaspersky? Anti-Virus hinzugefugt. Eine nahere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.

http://www.kaspersky.com
http://www.viruslist.com
Ähnliche Inhalte
Firewall
Sophos Red Site to Site
Frage von umountFirewall7 Kommentare

Hallo, Ich verzweifle bei der Einrichtung der Firewall Regeln zweier Netze. In jedem Netz steht eine Sophos XG Firewall, ...

RedHat, CentOS, Fedora
IBM übernimmt Red Hat
Information von KuemmelRedHat, CentOS, Fedora2 Kommentare

Ob das (diesmal) gut geht? ;-) Gruß Kümmel

Festplatten, SSD, Raid
WD Red Nasware 2.0 und 3.0
gelöst Frage von Xaero1982Festplatten, SSD, Raid4 Kommentare

Hallo Zusammen, ich hab in nem Dell-Server WD-Red Platten laufen. Eine ist kürzlich ausgestiegen und ich hab ihm Rahmen ...

Netzwerkgrundlagen

Sophos VPN RED Außenstelle Vlans Zentrale

Frage von opc123Netzwerkgrundlagen16 Kommentare

Hallo Zusammen, weiß hier jemand ob die Red´s von Sophos eine Funktion haben als Art Kopplung zu dienen wie ...

Neue Wissensbeiträge
Datenschutz

FYI: Schwachstelle bei der Telekom Digitalisierungsbox (Datenleck bei Arztpraxis)

Information von kgborn vor 4 StundenDatenschutz1 Kommentar

In vielen kleinen Firmen wird die Digitalisierungsbox der Telekom ( Telekom-Business-Router) für den Internetzugang verwendet. In der Firmware dieser ...

Router & Routing

Telekom Digitalisierungsbox nahm es mit den Portfreigaben wohl nicht so genau

Tipp von voucher vor 6 StundenRouter & Routing

Da stellen sich einem echt die Haare Zitat: " Der Standardport für HTTPS ist 443, laut Zengel gibt der ...

Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 1 TagWindows 1015 Kommentare

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Acht Switches miteinander verbinden
Frage von nixwissenderNetzwerkmanagement37 Kommentare

hallo! im unternehmen sind acht switches (vier zyxel gs1920-24 und vier levelone gsw-2457) vorhanden. aktuell sind diese in sternform, ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

LAN, WAN, Wireless
LAN über Steckdose?
gelöst Frage von extrathiccLAN, WAN, Wireless16 Kommentare

Hallo, Ich mochte meinen PC vom unteren stockwerk, wo mein Router steht, ins obere verfrachten. Jetzt habe ich da ...

Linux Netzwerk
Openvpn startet nicht von alleine
Frage von moxalisaLinux Netzwerk15 Kommentare

hi, ich habe ein Problem mit OpenVPN auf einem Ubuntu16.04, deshalb poste ich hier: Ich versuche einen Ubuntu 16.04 ...