SANS gibt eine Empfehlung zur 'Beseitigung' von CodeRed II heraus - Kaspersky ist anderer Meinung

Der Aufruhr um den Internet-Wurm Code Red und seine Varianten bringt immer verwirrendere Gerüchte und Meinungen hervor. Am 7. August hat SANS, das US-amerikanische 'Institute for System Administration, Networking, and Security', Details zum Internet-Wurm Code Red II herausgegeben und den Usern empfohlen, ihre Festplatten zu formatieren und Betriebssystem sowie Anwendungssoftware neu zu installieren.

"Festplatten als Abwehrmaßnahme gegen Code Red neu zu formatieren ist ungefähr so effektiv, wie sich den Kopf abzuschneiden, um einen Schnupfen zu bekämpfen," erklärt hierzu Eugene Kaspersky, Leiter Anti-Viren-Forschung bei Kaspersky Lab. "Außerdem ist eine simple Neu-Installation nicht nur keine Maßnahme, mit der der Angriff eines Wurms abgewehrt werden kann, sondern dies gibt den Usern auch noch ein falsches Gefühl der Sicherheit."

Bekanntlich unterscheidet sich der Wurm Code Red II von den beiden Vorgänger-Varianten dadurch, dass er einen Trojaner auf den infizierten Systemen installiert, so dass ein Außenstehender die Kontrolle über dieses System ausüben kann. Um dies zu erreichen, werden auf der Festplatte Dateien mit schädlichem Code angelegt und einige Schlüssel in der Windows-Registry verändert. Fast alle trojanischen Pferde arbeiten auf diese Weise. Deshalb ist es notwendig, alle schädlichen Dateien zu löschen und die ursprünglichen Registry-Keys wieder herzustellen. Kaspersky empfiehlt allen Usern, über die Kaspersky Viren-Enzyklopädie Informationen darüber einzuholen, wie der in Code Red II enthaltene Trojaner entfernt werden kann. Diese Aktion dauert nicht länger als zehn Minuten. Das ist erheblich weniger als die vielen Stunden oder Tage, die bei einer Neuformatierung der Festplatte und Neuinstallation des Betriebssystems fällig sind.

Kaspersky Lab betont in diesem Zusammenhang ausdrücklich, dass Formatieren der Festplatte mit anschließender Neuinstallation des Betriebssystems keine Garantie dafür ist, daß Code Red II denselben Computer nicht noch einmal befällt. Die Installationsdateien von Windows 2000 enthalten schlicht nicht die Service-Packs und Patches, die notwendig sind, um die Sicherheitslücke im Internet Information Server (IIS) zu schließen, die Code Red ausnutzt.

Die effektivste Abwehrmaßnahme gegen Code Red und ähnliche 'dateilose' Würmer besteht in der Installation eines speziellen Filtermoduls, das alle eingehenden Anfragen an den Web Server überprüft. Derartige Funktionen bieten auch spezielle Firewalls und Intrusion Detection Systeme (IDS). Obwohl dieser Aufwand sich für viele schon aus finanziellen Gründen verbietet, verlangt die Installation und Nutzung dieser Funktionen zusätzlich gründliche Kenntnisse der Computertechnik auf Seiten des Users.

"Die meisten User verfügen nicht über ausreichendes Wissen, um mit IDS Software umzugehen und sind auch nicht bereit, hierfür viel Geld auszugeben. Die Abwehr von Würmern im Stile des Code Red ist jedoch für alle User von größter Bedeutung," erklärt Eugene Kaspersky weiter.

Kaspersky Lab bietet eine kostenlose Software zum Download an, Kaspersky Anti-Virus for IIS. Dieses Programm belegt im Gegensatz zu IDS Software nur einige Kilobyte Speicherplatz auf der Festplatte, hat keine Auswirkungen auf die Performance des Servers und ist innerhalb weniger Minuten installiert. Zusätzlich ist Kaspersky Anti-Virus for IIS effektiver, da es als ein ins System integriertes Filter arbeitet. Damit kann es alle eingehenden Anfragen an den Web-Server abfangen und prüfen. Diese Filterung findet auf der untersten Ebene der IIS-Architektur statt, also weit vor der Verarbeitung der Requests.

Ein weiterer Vorteil von Kaspersky Anti-Virus for IIS besteht darin, dass diese Software sofort nach Entdeckung eines neuen Virus auf den neuesten Stand gebracht werden kann und den Usern damit Schutz auch vor den neuesten Würmern im Code-Red Stil bietet. Damit müssen die User auch nicht mehr abwarten, bis der Hersteller einen Patch für die kürzlich entdeckten Sicherheitslücken im IIS freigibt.

Speziell zur Abwehr 'dateiloser' Viren wie Code Red entwickelt Kaspersky Lab derzeit eine neue heuristische Technologie. Damit können die User dann nicht nur aktuelle dateilose Viren abwehren, sondern auch solche, die erst in Zukunft auftreten werden.

Wie wird die Kaspersky™ Anti-Virus für Internet Information Server benutzt