Kaspersky Lab, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor einer neuen Malware mit dem Namen 'Blue Code', die Web-Server unter Microsoft Internet Information Server (IIS) angreift. Bis jetzt hat Kaspersky Lab einige Meldungen über Infektionen aus China erhalten.

Wirkungsweise

Ähnlich wie der berüchtigte 'Code Red'-Wurm, infiziert 'Blue Code' IIS-Server, aber nutzt dabei eine andere Sicherheitslücke dieser Plattform, den Web Directory Traversal. Das Schlupfloch, das bereits im Oktober 2000 entdeckt wurde, gibt dem Wurm Zugriff auf die Festplatte, wohin er seine Trägerdatei kopiert und anschließend startet.

Die Trägerdatei des Wurms erzeugt einige zusätzliche Dateien im Root-Verzeichnis des C-Laufwerks: SVCHOST.EXE, HTTPEXT.DLL und D.VBS. Die Namen der ersten zwei Dateien sind schon belegt und gehören zu den Standard-Programmen von Windows 2000/NT. 'Blue Code' versucht so seinen Aufenthalt im System zu verstecken.

Die schädliche Datei SVCHOST.EXE wird in die Start-up-Section der Windows System-Registrierung von Windows eingetragen, so dass der Wurm nach jedem Neustart des Systems aktiviert wird.

Schnelle Verbreitung

Die D.VBS-Datei besitzt einige Routinen, die aktive Kopien des 'Code Red'-Wurms aus dem Speicher entfernen und einen Schutz gegen zukünftige Angriffe dieses Virus aufbauen. Um das zu erreichen sucht und deaktiviert 'Blue Code' die Datei INETINFO.EXE, welche für den Zugriff zu den Ressourcen des Web-Servers zuständig ist. Zusätzlich verändert der Wurm die Verarbeitungs-Prozesse der HTTP-Anfragen, was es 'Code Red' unmöglich macht den IIS-Server zu befallen.

Zur weiteren Verbreitung, startet 'Blue Code' 100 aktive Threads die zufällig ausgewählte IP-Adressen scannen und versucht mit seiner Kopie wietere Rechner sowohl im lokalen Netzwerk, als auch im Internet zu befallen. Diese Anzahl von zusätzlichen Prozessen kann die Funktionalität des infizierten IIS-Servers wesentlich beeinträchtigen.

Zeitsteuerung

'Blue Code' besitzt auch eine Schadens-Routine. Täglich, von 10 bis 11 Uhr morgens UTC-Zeit, führt er einen DoS-Angriff (Denial of Service) von den infizierten Computern aus durch. Das Ziel ist der Web-Server http://www.nsfocus.com/.

Erkennung und Entfernung

Ein Update mit Schutzmassnahmen gegen 'Blue Code' sind der Kaspersky(tm) Anti-Virus-Datenbank bereits hinzugefügt worden. Eine nähere Beschreibung des Wurms finden Sie im Kaspersky Viren-Lexikon.