E
engel
Guest
Systems Administration Networking and Security Institute (SANS) hat am Wochenende Warnungen vor einer neuen Variante des "Code Red"-Wurmes herausgegeben. Genau wie die bisher bekannte Variante befällt das neue "Code Red"-Derivat nur Microsoft Internet Information Server (IIS), die kein Update der Sicherheits-Patches vorgenommen haben. Neuerdings versucht der Wurm, einen Trojaner zu installieren.
Bei IIS-Servern auf Win 2000 startet sich eine ausführbare Datei im Code des Wurmes. IIS-Server, die auf Windows NT laufen, stürzen dagegen einfach ab. Der Wurm kopiert eine Datei mit der Bezeichnung %windir%\CMD.exe in die Verzeichnisse C:\inetpub\scripts\roots.exe, c:\proga~1common~1\system\MSADC\root.exe. und das gleiche noch mal im Laufwerk D. Dadurch, so die Experten des SANS, könnte ein Hacker beliebige Kommandos auf dem so infizierten Rechner ausführen. Zusätzlich wird noch eine Datei mit dem Namen explorer.exe installiert. Hierbei werde eine als "Relative Shell Path" bekannte Sicherheitslücke ausgenutzt. Das System startet hierbei die Trojaner-Exe und nicht die normale Datei Explorer.exe. Man könne den Trojaner nur dann aus dem System entfernen, wenn das komplette Root-Verzeichnis neu eingerichtet werde.
[Quelle:Internetworld]
Bei IIS-Servern auf Win 2000 startet sich eine ausführbare Datei im Code des Wurmes. IIS-Server, die auf Windows NT laufen, stürzen dagegen einfach ab. Der Wurm kopiert eine Datei mit der Bezeichnung %windir%\CMD.exe in die Verzeichnisse C:\inetpub\scripts\roots.exe, c:\proga~1common~1\system\MSADC\root.exe. und das gleiche noch mal im Laufwerk D. Dadurch, so die Experten des SANS, könnte ein Hacker beliebige Kommandos auf dem so infizierten Rechner ausführen. Zusätzlich wird noch eine Datei mit dem Namen explorer.exe installiert. Hierbei werde eine als "Relative Shell Path" bekannte Sicherheitslücke ausgenutzt. Das System startet hierbei die Trojaner-Exe und nicht die normale Datei Explorer.exe. Man könne den Trojaner nur dann aus dem System entfernen, wenn das komplette Root-Verzeichnis neu eingerichtet werde.
[Quelle:Internetworld]