Code Red Warten auf den gefährlichen Wurm

Für die Nacht zum Mittwoch deutscher Zeit erwarten IT-Sicherheitsexperten eine neue Angriffswelle des Internet-Wurms "Code Red". Noch haben Server-Betreiber die Chance, Sicherheitslöcher in betroffenen Microsoft-Produkten zu stopfen. Durch Code Red könnte der Datenverkehr im Netz stark verlangsamt werden.


[M] AP; SPIEGEL ONLINE

Berlin/Washington - "Es besteht Anlass zur Sorge, dass ein hoher Internet-Verkehr verbunden mit dem sich verbreitenden Wurm Funktionen des Internets einschränken wird und normale Nutzer davon betroffen werden", sagte Sicherheitsbeauftragter Ronald Dick von der US-Bundespolizei FBI. Code Red könnte also den Datenverkehr im Internet extrem behindern.

Der Wurm attackiert unter anderem Windows-Rechner, die über bestimmte Servertypen in Netzwerke eingebunden sind. Amerikanische Sicherheitsexperten fürchten, dass "Code Red" ab Mittwoch, 02.00 Uhr MESZ, durch eine rasche Verbreitung den Internet-Verkehr auf breiter Basis stören wird. Der Wurm ist vermutlich so programmiert, dass er sich an den ersten 20 Tagen eines Monats weiterverbreitet (siehe Kasten).

Code Red werde wahrscheinlich in der neuen Variante noch mehr Schaden anrichten als beim ersten Mal vor knapp zwei Wochen, warnten Experten des FBI, der Regierung und der Computerindustrie. Einige IT-Sicherheitsberater gehen aber von einer Überreaktion aus. Sie glauben, dass die bereits vorhandenen Kopien von Code Red nicht wieder aus ihren "Schlaf" aufwachen und sich weiterverbreiten.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn bemüht sich herauszuheben, dass normale Netz-User außer Performanceproblemen im Netz nichts von dem Wurm mitbekommen dürften. "Ein normaler PC ist gar nicht betroffen", sagte BSI-Sprecher Michael Dickopf.

Wurm mit mehrere Varianten

Klar scheint indes zu sein, dass sich der seinem ersten Auftreten am 19. Juli verändert hat. Mittlerweile gibt es nach BSI-Angaben bereits Variationen von Code Red. Der Wurm kann Websites entstellen und das Internet nach neuen potenziellen Opfern durchsuchen.

"Wenn dieser Wurm so erfolgreich ist, wie es sich die Hersteller erhoffen, könnte das Internet verlangsamt werden", sagte Dickopf. Doch der BSI-Sprecher schränkte ein, niemand könne zur Zeit sagen, wie Gefährlich Code Red wirklich ist.

Woher der Wurm stammt, ist noch nicht geklärt. Auf den Bildschirmen einiger infizierter Computer erschien die Mitteilung "Hacked by Chinese". Der Wurm sei so programmiert, dass er in der Manier der normalen Internetbrowser auf Webserver zugreife und sein bösartiges Päckchen mit Anweisungen zur Weiterverbreitung in den Arbeitsspeichern der betroffenen Rechnern ablege. Der Wurm nutze dabei eine bekannte Sicherheitslücke des Internet Information Server (IIS) von Microsoft, erklärte Roman Danilyw von der Abteilung für Computersicherheit der Carnegie Mellon-Universität (CERT).

"Man kann sich davor schützen", sagte Dickopf. So hält das BSI auf seiner Website Informationen über mögliche Abwehrmaßnahmen für betroffene User bereit. Code Red macht sich eine seit einiger Zeit bekannte Sicherheitslücke des Microsoft Internet-Information-Server-Software (IIS) zu nutze. Betroffen sind laut Microsoft auch Windows 2000 Rechner sowie Computer, die mit einer Testversion von Windows XP laufen.

Ein mutwillig herbeigeführter Überlauf eines Pufferspeichers ermöglicht es dem Wurm, seinen Programmcode auf dem geknackten Rechner auszuführen. Für den Bug bietet Microsoft zwar inzwischen eine Korrektur (Patch) an, allerdings wird sie nicht überall eingesetzt.

"Code Red" hatte in der vergangenen Woche rund 300.000 Websites, darunter auch von der US-Regierung infiziert. Der Wurm ist nach einem bei Programmierern beliebten, koffeinhaltigen Getränk benannt, außerdem bezeichnet der Name beim US-Militär eine interne Bestrafungsaktion von GIs an ihren Kameraden.



© SPIEGEL ONLINE 2001
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.