Wurm: Neue Variante von Code Red

[engel]

Systems Administration Networking and Security Institute (SANS) hat am Wochenende Warnungen vor einer neuen Variante des "Code Red"-Wurmes herausgegeben. Genau wie die bisher bekannte Variante befällt das neue "Code Red"-Derivat nur Microsoft Internet Information Server (IIS), die kein Update der Sicherheits-Patches vorgenommen haben. Neuerdings versucht der Wurm, einen Trojaner zu installieren.
Bei IIS-Servern auf Win 2000 startet sich eine ausführbare Datei im Code des Wurmes. IIS-Server, die auf Windows NT laufen, stürzen dagegen einfach ab. Der Wurm kopiert eine Datei mit der Bezeichnung %windir%\CMD.exe in die Verzeichnisse C:\inetpub\scripts\roots.exe, c:\proga~1common~1\system\MSADC\root.exe. und das gleiche noch mal im Laufwerk D. Dadurch, so die Experten des SANS, könnte ein Hacker beliebige Kommandos auf dem so infizierten Rechner ausführen. Zusätzlich wird noch eine Datei mit dem Namen explorer.exe installiert. Hierbei werde eine als "Relative Shell Path" bekannte Sicherheitslücke ausgenutzt. Das System startet hierbei die Trojaner-Exe und nicht die normale Datei Explorer.exe. Man könne den Trojaner nur dann aus dem System entfernen, wenn das komplette Root-Verzeichnis neu eingerichtet werde.

[Quelle:Internetworld]

 

[promo-channel]

Hallo,

kennt jemand den/die Port/s die der Troj. von Code Red öffnet? Kleiner Tip: Ich scanne regelmässig meine Ports mit superscann.

[glow=color,strength,width]DOWNLOAD SUPERSCAN[/glow]

Wer nicht weis wie es funzt: eigene ip eingeben, dann auf "all ports from" und 1-65000 eingen.
Dauert eine Weile, aber man geht sicher das sich kein Troj. unbemerkt eingeschlichen hat und Besuch aus aller Welt empfängt.

Achja, scannen von Ports auf Fremdrechnern ist gesetzlich nicht verboten. Sich Zugang zu verschaffen schon. Also ehrlich bleiben!!!

Gruß, Jens