Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, informiert seine Benutzer über die Verbreitung einer neuen Wurmgeneration, die sich im Internet ohne irgendwelche Dateien verbreiten kann. Diese Art von Malware führt Aktionen, unter anderem auch Weiterverbreitung und DdoS-Angriffe, ausschließlich aus dem Arbeitsspeicher oder mittels TPC-IP-Paketen durch. Das erschwert das Erkennen und Neutralisieren sehr.

Der erste Mitglied dieser Familie, bekannt als 'Bady' (a. k. a. "Code Red"), hat nach ZDNet-Angaben mittlerweile fast 12.000 Server weltweit infiziert und ist verantwortlich für groß angelegte DdoS-Angriffe auf das Weiße Haus (www.whitehouse.gov), was dazu führte, dass diese Seite zeitweise nicht mehr verfügbar war.

"Bady" infiziert nur Systeme, die unter Windows 2000 Server (ohne installierten Service-Packs) und Microsoft Internet Information Server (IIS) mit aktivem Indexdienst laufen. Da diese Software im kommerziellen Web, FTP, und bei eMail-Servern häufig benutzt wird, konnte sich der Wurm so stark verbreiten. Die Epidemie könnte sich noch weiter ausbreiten, wenn der Wurm auch andere Windows-Versionen infizieren könnte, wie zum Beispiel Windows NT und XP. Doch der Wurmautor zielte mit seinen 'Parasiten' speziell auf Windows 2000 ab.

Um in die Remote-Rechner einzudringen, nutzt 'Bady' eine Sicherheitslücke des IIS, die im Juni dieses Jahres entdeckt wurde. Sie erlaubt dem Übeltäter, einen beliebigen Code zu starten, ohne dass der Anwender davon weiß. Es kann vorkommen, dass 'Bady' eine spezielle Anfrage an einen willkürlich ausgewählten Server sendet, um sein Programm zu übertragen. Der Wurm versucht dann auch andere Server zu infizieren. Die gleichzeitige Aktivität von Hunderten aktiver Wurmprozesse im Computer-Speicher blockiert die Serverfunktion erheblich.

Am 18. Juni 2001 veröffentlichte Microsoft einen Patch, der diese Sicherheitslücke behebt. Doch eine Vielzahl von Usern ignorierte die Warnung und hat den Patch nicht installiert. "'Bady' beweist wieder die Notwendigkeit der Software-Updates. Momentan ist das eine der wichtigsten Sicherheitsmaßnahmen sowohl für einzelne Privatnutzer, als auch für Großkunden," erläutert Denis Zenkin, Pressesprecher bei Kaspersky Lab. "Dieser Wurm zeigt anschaulich, dass ein Hacker nur einige Tage braucht, um einen schädlichen Code zu programmieren, der die oben genannte Sicherheitslücke ausnutzt."

Das wichtigste Feature von 'Bady' ist, dass er keine Dateien benutzt. "Dieser Wurm ist absolut einzigartig: Er befindet sich entweder im Systemspeicher des infizierten Computers, oder in einem TCP/IP-Paket, mit dessen Hilfe er auf den Remote-Rechner übertragen wird," erklärt Eugene Kaspersky, der Leiter der Abteilung für Antiviren-Forschung bei Kaspersky Lab. "So ein 'dateiloser' Wurm ist eine ernste Gefahr für den Serverschutz, da für die Abwehr die Installation besonderer Antivirus-Module für moderne Firewalls notwendig ist."

'Bady' blockiert nicht nur die infizierten Computer, sondern hat zudem noch andere Nebenwirkungen. Erstens, fängt der Wurm Anforderungen nach html-Seiten ab und ersetzt die angeforderten Seiten durch folgende Meldung:

Der Wurm setzt alle Änderungen nach zehn Stunden wieder zurück, so dass die User wieder die Seiten zu Gesicht bekommen, die sie anfordern. Erwähnenswert ist, das der Wurm es nur auf voreingestellte "US English"-Code-Seiten abgesehen hat.

Zweitens, startet der Wurm vom 20. bis 28. jedes Monats einen DdoS- Angriff auf die Web-Seite des Weißen Hauses (www.whitehouse.gov). Bei diesem Angriff beginnen die Wurmkopien auf allen infizierten Computern zahlreiche Verbindungsanfragen an diese Web-Seite zu schicken. Als Resultat der riesigen Menge von Anfragen ist die Web-Seite überlastet und kann Anfragen nicht mehr beantworten.

Um das Eindringen des 'Bady'-Wurms zu verhindern und sich gegen ihn zu schützen, empfiehlt Kaspersky Lab seinen Benutzern den Patch zur Behebung der genannten Sicherheitslücke auf Windows 2000- und IIS-Servern so schnell wie möglich zu installieren.

Sie können sich auch mit Hilfe des Microsoft Security Bulletin MS01-033 informieren.

Eine nähere technische Beschreibung des 'Bady'-Wurms finden Sie im Kaspersky Viren-Lexikon: http://www.viruslist.com/.