Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Codered.2.0.Worm


Das am Samstag den 4. August 2001 entdeckte CodeRed II Virus müsste eigentlich schon CodeRed III heißen, da vom ursprünglichen CodeRed schon eine 2. Variante (CodeRed.B) existiert.
Das CodeRed II Virus leitet seinen Name jedoch von einem im Virustext gefundenen Eintrag “CodeRed II” ab. Mit dem Original hat die 2er Version nur mehr die Angriffsstrategie und die Zielplattformen gemein. Der Virencode ist zwar ähnlich, wurde aber komplett neu geschrieben.

Das CodeRed II Virus befällt, so wie das Original, nur WebServer (NT/2000 auch XP) auf denen Microsofts IIS (Internet Information Server) läuft. Alle Anwender die keinen IIS verwenden oder den aktuellen Patch

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

von Microsoft installiert haben sind überhaupt nicht betroffen.

Das Virus bedroht somit AUSSCHLIESSLICH IIS WebServer und keine anderen PCs.

Das Virus verbreitet sich nicht via eMail, wie dies die meisten Würmer machen, sondern erzeugt nach einem Zufallsprinzip entweder 300 oder 600 verschiedene IP-Adressen, die es dann mittels PortScan (Port 80) nach weiteren IIS Installationen absucht. Mit der gleichen Buffer-Overflow Attacke wie das Original gelingt es dem CodeRed II Virus seinen Code auf dem angegriffenen Server zu exekutieren.

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-052.asp

Gelingt es dem Virus einen Server zu infizieren, checkt das Virus ob es sich auf einer chinesischen Installation befindet oder nicht. Ist dies der Fall erzeugt es nach dem Zufallsprinzip 600 IP-Adressen und versucht 48 Stunden lang sich an diese Adresse zu verschicken. Bei allen anderen Installationen erzeugt es nur 300 IP Adressen und versucht diese nur 24 Stunden lang zu infizieren.

Wie das Original CodRed Virus ist auch das CodeRed II in der Lage, schon von ihm infizierte Systeme als solche zu erkennen und Doppelinfektionen zu vermeiden.

Das Virus kopiert sich selbst und seinen gesamten Code sowohl auf C:\explorer.exe als auch auf D:\explorer.exe und stellt damit sicher, das es beim nächsten Aufruf der Explorer.EXE auch zuverlässig gestartet wird. Nach einem Start des Virus wird wieder die Original Explorer.EXE vom System aufgerufen.

Ein Trojaner namens "Trojan.VirtualRoot" wird ebenfalls auf dem infizierten Rechner installiert. Dieser Trojaner ermöglicht Dritten Zugriff auf alle Daten.

Danach erzeugt das Virus eine Reihe von Einträgen direkt auf der C:\ Platte des infizierten Servers

c:\inetpub\scripts\root.exe
d:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

die ebenso wie ein Eintrag in der Registry

HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots

ein sicheres Indiz für die Existenz des Wurms darstellt.

Darüber hinaus, kopiert der Wurm die CMD.EXE (Comand Shell) des Betriebssytems in das Standard Verzeichnis “Ausführbarer-Programme”. Mit Hilfe dieser Einträge ist es einem Angreifer möglich die volle Kontrolle über einen Infizierten WebServer zu erlangen.








Linktipps: Laptoptaschen von Pat Says Now