Entdeckt: July 16, 2001
Aktualisiert: February 13, 2007 11:37:36 AM
Auch bekannt als: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
Typ: Worm
Infektionslänge: 3569
Betroffene Systeme: Microsoft IIS
CVE-Referenzen: CVE-2001-0500 CVE-2001-0506



CodeRed Worm-Aktualisierung: 10. August 2001 (9:00 Uhr Pazifik-Zeit):
Symantec Security Response hat ein Entfernungsprogramm erstellt, um eine Schwachstellenanalyse Ihres Computers durchzuführen und den CodeRed Worm sowie CodeRed II zu entfernen.

CodeRed Worm-Aktualisierung: 5. August 2001 (12:00 Pazifik-Zeit):
Eine Variante von CodeRed Worm wurde als CodeRed II entdeckt. Klicken Sie hier, um weitere Informationen zu erhalten.

CodeRed Worm-Aktualisierung: 31. Juli 2001 (13:00:00 Uhr Pazifik-Zeit):
Computer, die von CodeRed infiziert wurden, haben aufgrund der Logik des Wurms zum Wechseln in endlosen Schlaf-Modus am 28. Juli 2001 aufgehört, diesen Wurm zu verbreiten. Obgleich es viel Spekulation darum gab, ob dieser Wurm am 1. August 2001 wieder aufwachen würde, weist Symantec Security Response's Analyse von CodeRed Worm daraufhin, dass eine Erneute Infektion bereits infizierte Computer nicht wieder "aufweckt".

Wenn der Wurm noch einmal in das Internet eingenistet wird, kann er nur Computer beeinträchtigen, die noch die Schwachstelle auf dem Webserver haben. Vorher infizierte Computer können erneut infiziert werden, wenn sie nicht gepatcht worden sind. Symantec Security Response empfiehlt Benutzern von IIS4.0 und von 5.0, den Microsoft-Patch vor dem 1. August anzuwenden. Security Response wird die CodeRed-Tätigkeiten im Internet weiterhin überwachen und veröffentlicht auf dieser Seite Aktualisierungen, wenn sie verfügbar sind.

CodeRed Worm beeinträchtigt Microsoft Index-Server 2.0 und den Windows 2000 Index-Dienst auf Computern mit Microsoft Windows NT 4.0 und Windows 2000, auf denen IIS 4.0 und 5.0 Web-Server ausgeführt werden. Der Wurm verwendet eine bekannte Pufferüberlauf-Schwachstelle, die in der Datei Idq.dll enthalten ist. Informationen zu dieser Schwachstelle sowie einen Microsoft-Patch finden Sie hier: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp .

Einen Sammel-Patch für IIS, der die vier Patche einschließt, die bis jetzt herausgebracht wurden, ist hier verfügbar: http://www.microsoft.com/technet/security/bulletin/MS01-044.asp .

Wir empfehlen Systemadministratoren, den Microsoft-Patch zu installieren, um sich vor Infektionen mit diesem Wurm und vor sonstigen nicht autorisierten Zugriffen zu schützen.

Informationen zu den verschiedenen Weisen, nach dieser Bedrohung und der dafür anfälligen Schwachstelle zu suchen, und Informationen zur Vorgehensweise, wenn Sie Symantec Enterprise Firewall benutzen, erhalten Sie weiter unten im Abschnitt Zusätzliche Informationen .

Bitte klicken Sie hier , um Informationen darüber zu erhalten, wie Sie die CodeRed-Bedrohung mit Technologien von Symantec bekämpfen können.




Symantec bietet mehrere Optionen an, nach dieser Bedrohung und die dafür anfällige Schwachstelle zu suchen.

Privatanwender

  • Symantec Security Check ist ein Programm, das Ihnen erlaubt, festzustellen, ob Ihr Computer anfällig für Risiken ist. Klicken Sie hier, um eine kostenlose Online-Prüfung durchzuführen.
  • "FixCodeRed Assessment Tool ist ein kostenloses Download-Programm, das Ihnen erlaubt, festzustellen, ob Ihr Computer anfällig für Risiken ist. Wenn eine Schwachstelle gefunden wird, prüft das Programm den Speicher, um festzustellen, ob der Wurm vorhanden ist.
  • Norton Internet Security ist Symantecs integrierte Sicherheits- und Datenschutz-Suite, die mit einer neuen Regel aktualisiert worden ist, die verdächtigen ausgehenden Datenverkehr vom IIS-Server blockiert. Diese neue Regel kann auf Norton Internet Security angewendet werden, indem man LiveUpdate ausführt.

Corporate-Benutzer
  • Symantec Security Check ist ein kostenloses Programm, das Ihnen erlaubt, festzustellen, ob Ihr Computer anfällig für Risiken ist. Klicken Sie hier, um eine kostenlose Online-Prüfung durchzuführen.
  • "FixCodeRed Assessment Tool ist ein kostenloses Download-Programm, das Ihnen erlaubt, festzustellen, ob Ihr Computer anfällig für Risiken ist. Wenn eine Schwachstelle gefunden wird, prüft das Programm den Speicher, um festzustellen, ob der Wurm vorhanden ist.
  • Enterprise Security Manager (ESM) ist ein Richtlinieneinhaltungs- und Schwachstellenmanagementsystem von Symantec, mit dem Sicherheits-Patch-Aktualisierungsfunktionen durch das ESM Patch-Modul verwaltet werden können. Zwei Patch-Vorlagen sind verfügbar, die diese Schwachstelle auf Windows NT 4.0- und Windows 2000-Servern erkennen. Laden Sie q300972.zip herunter und extrahieren Sie dann die Vorlagen in den ESM-Ordner /esm/template.
  • NetProwler ist Symantecs netzwerkbasiertes Intrusion Detection-Programm. Wenn die Sicherheitsaktualisierung 8 installiert ist, erkennt es Angriffsversuche auf Ihre IIS 4.0- und 5.0-Server, bei denen diese Schwachstelle verwendet wird. Sie können NetProwler SU8 herunterladen, indem Sie die Aktualisierungsfunktion des Produkts ausführen.
  • Symantec Enterprise Firewall ist Symantecs Anwendungsinspektions-Firewall. Standardmäßig blockiert sie verdächtigen ausgehenden Datenverkehr von Web-Servern wie IIS. Bei Ausführung im Dienstnetzwerk der Firewall, beendet sie die Verbreitung von diesem Angriff sowie von anderen Arten von Angriffen. Beachten Sie den Abschnitt "Weitere Informationen zu Symantec Enterprise Firewall" weiter unten, um weitere Informationen zu diesen Standardeinstellungen zu erhalten.
  • NetRecon, Symantecs Programm zur Netzwerkschwachstellenanalyse, ist aktualisiert worden, um diese Schwachstelle zu erkennen. Das Programm überprüft den Microsoft IIS-Index-Dienst und wird Sie benachrichtigen, wenn Ihr IIS-Server der Bedrohung ausgesetzt ist. Für weitere Informationen klicken Sie hier.

Sie können eine Infektion nicht zuverlässig erkennen, indem Sie nach einer bestimmten Datei wie z. B. C:Notworm suchen oder indem Sie HTML-Dateien der entstellten Webseiten anzeigen, weil der Wurm nur im Speicher ausgeführt wird und nie direkt Informationen auf Ihre Festplatte schreibt. Für mehr Informationen sehen Sie den Abschnitt "Technischen Details“. Auch ist es unzuverlässig, nach Spuren des Wurms in den Protokolldateien zu suchen, da sogar gepatchte Computer Protokoll-Einträge von vorherigen Angriffen enthalten können. Folglich empfiehlt Symantec in hohem Grade, den Microsoft-Patch anzuwenden, anstatt sich auf Erkennungsmethoden zu verlassen.

Der Wurm verbreitet sich mithilfe von HTTP-Anfragen. Dieser Code nutzt eine bekannte Pufferüberlauf-Schwachstelle aus, durch die der Wurm auf Ihrem Computer ausgeführt werden kann. Der Code wird nicht als Datei gespeichert, sondern wird in den Speicher eingefügt und dort direkt ausgeführt. Durch Anwenden des Microsoft-Patches und Neustarten des Computers wird der Wurm entfernt und weitere Infektionen verhindert.

Zusätzlich zum Suchen neuer, angreifbarer Host-Computer versucht der Wurm außerdem, einen DoS-Angriff auszuführen. Der Wurm erstellt zudem mehrere Threads, die Instabilität auf Ihrem Computer verursachen können.

Schließlich können nicht gepatchte Cisco-Produkte und andere Dienste, die Port 8 überwachen, wie Hewlett-Packard JetDirect-Karten, angreifbar sein oder durch Port-Prüfungen einen DoS verursachen.


Weitere Informationen zu Symantec Enterprise Firewall

Symantec Enterprise Firewall, VelociRaptor Firewall Appliance und Symantec Raptor Firewall bieten eine Schutzkombination, einschließlich Sicherheitskonfiguration für standardmäßigen Schutz, Anwendungsinspektions-Firewall der dritten Generation und automatische ursprüngliche und fortdauernde Systemverhärtung, um sicherzustellen, dass Ihre Firewall Ihr Netzwerk schützt. In diesem Fall haben unsere Kunden und die gesamte Internetgemeinschaft von diesem Ansatz für standardmäßigen Schutz profitiert, da die Weiterverbreitung des neuesten Code Red Worm gestoppt werden konnte. Sie werden automatisch und standardmäßig die Verbreitung dieses Wurms mithilfe dieser Firewalls verhindern, wobei sich Ihre öffentlichen Webserver im Dienst-Netzwerk der Firewall befinden. Wir empfehlen, dass Sie Ihre Konfigurationen genau überprüfen, um sicherzustellen, dass keine Regeln hinzugefügt wurden, die Web-Server auf Ihrem Dienstnetzwerk zulassen, die ausgehende Web-Anfragen erstellen. Da dieses selten ist, sollten Änderungen an Ihrer Symantec Gateway-Firewall nicht notwendig sein.

Wenn Sie öffentliche Web-Server auf dem internen Netzwerk der Firewall haben, empfiehlt Symantec, eine Regel zur Firewall hinzuzufügen, die verhindert, dass Ihre Web-Server ausgehende Web-Anfragen erstellen. Da Web-Server gewöhnlich nur eingehende Web-Anfragen annehmen müssen und keine ausgehende Web-Anfragen erstellen müssen, sollte dies keine negativen Auswirkungen auf Ihren täglichen Betrieb haben. Diese Änderung verbessert die gesamte Sicherheit Ihres Netzwerkes und hilft, die Verbreitung dieses Wurms zu verhindern. Zusätzlich empfehlen wir, dass Sie Ihre Netzwerkkonfiguration und Web-Server-Verteilung überprüfen. Für bestmöglichen Schutz empfehlen wir auch, dass sich alle öffentlich zugänglichen Server auf dem Dienstnetzwerk der Firewall und nicht auf dem internen Netzwerk befinden.

Für zusätzliche Informationen beachten Sie das Dokument Symantec Enterprise Security Solutions protect against the Microsoft Windows IIS Index Server ISAPI System-level Remote Access Buffer Overflow .

Um festzustellen, ob Ihr Server gepatcht worden ist, stellt Microsoft das IIS 5.0 Hotfix Checking Tool hier zur Verfügung:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168

Ciscos Advisory bezüglich betroffener Produkte kann hier gefunden werden:

http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

Microsoft-Programm
Microsoft hat ein Programm erstellt, um offensichtliche Auswirkungen des Wurms Code Red II zu entfernen.

Termine für Antivirus-Schutz

  • Erste Rapid Release-Version July 17, 2001
  • Latest Rapid Release version September 28, 2010 Änderung 054
  • Erste Daily Certified-Version July 17, 2001
  • Neueste Daily Certified-Version September 28, 2010 Änderung 036

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Dokument verfasst von: Eric Chien

Entdeckt: July 16, 2001
Aktualisiert: February 13, 2007 11:37:36 AM
Auch bekannt als: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
Typ: Worm
Infektionslänge: 3569
Betroffene Systeme: Microsoft IIS
CVE-Referenzen: CVE-2001-0500 CVE-2001-0506


Der Wurm sendet seinen Code als HTTP-Anfrage. Die HTTP-Anfrage nutzt eine bekannte Pufferüberlauf-Schwachstelle aus, durch die der Wurm auf Ihrem Computer ausgeführt werden kann. Der schädliche Code wird nicht als Datei gespeichert, sondern wird in den Speicher eingefügt und dann direkt von dort ausgeführt.

Sobald er ausgeführt wurde, sucht der Wurm die Datei C:Notworm. Wenn diese Datei vorhanden ist, wird der Wurm nicht ausgeführt, und der Thread wechselt in einen endlosen Schlafzustand.

Wenn die Datei C:\Notworm nicht vorhanden ist, dann werden neue Threads erstellt. Wenn das Datum vor dem 20. des Monats ist, versuchen die folgenden 99 Threads, mehr Computer auszunutzen, indem sie auf willkürliche IP-Adressen abzielen. Um zu vermeiden, dass der Quell-Computer erneut infiziert wird, sendet der Wurm keine HTTP-Anfragen zu den IP-Adressen 127.*.*.*.

Wenn die Standardsprache des Computers amerikanisches Eglisch ist, veranlassen weitere Threads Webseiten dazu, entstellt angezeigt zu werden. Zuerst schläft der Thread für zwei Stunden und hakt dann eine Funktion ein ("Hooking"), die auf die HTTP-Anfragen reagiert. Anstatt die richtige Webseite zurückzugeben, gibt der Wurm seinen eigenen HTML-Code zurück.

Die HTML-Anzeige sieht wie folgt aus:

Welcome to http:// www.worm.com !
Hacked By Chinese!

Dieser Hook dauert für 10 Stunden und wird dann entfernt. Jedoch können erneute Infektionen oder andere Threads die Funktion erneut einhaken.

Zwei Versionen dieses Wurms sind im Umlauf gewesen. Die zweite Version führt nicht dazu, dass die Webseiten verändert werden.

Wenn das Datum zwischen dem 20. und dem 28. des Monats ist, versuchen die aktiven Threads dann außerdem, einen Denial-of-Service (DoS)-Angriff auf eine bestimmte IP-Adresse zu starten, indem sie große Mengen Datenmüll an Port 80 (Web-Dienst) auf 198.137.240.91 senden, was www.whitehouse.gov war. Diese IP-Adresse ist geändert worden und ist nicht mehr aktiv.

Schließlich, wenn das Datum später als der 28. des Monats ist, werden die Threads des Wurms nicht ausgeführt, sondern in einen endlosen Schlafzustand versetzt. Diese Erstellung von mehreren Threads kann Computerinstabilität verursachen.


Hinweise:
  • Wenn Sie Microsoft FrontPage oder ein ähnliches Programm ausführen, das zum Erstellen von Web-Seiten verwendet wird, könnte IIS möglicherweise auf Ihrem Computer installiert sein.
  • Für zusätzliche Informationen, einschließlich der Zeichenfolge, die zu den IIS-Protokolldateien hinzugefügt wird, wechseln Sie auf die CERT Coordination Center-Seite unter:

    http://www.cert.org/incident_notes/IN-2001-08.html


  • Hewlett-Packard Jet Direct-Karten, die Port 80 überwachen, können ebenfalls einen DoS-Angriff erleiden.




Empfehlungen

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Dokument verfasst von: Eric Chien

Entdeckt: July 16, 2001
Aktualisiert: February 13, 2007 11:37:36 AM
Auch bekannt als: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
Typ: Worm
Infektionslänge: 3569
Betroffene Systeme: Microsoft IIS
CVE-Referenzen: CVE-2001-0500 CVE-2001-0506


Symantec Security Response hat ein Programm entwickelt, dass Ihren Computer auf Schwachstellen prüft und CodeRed Worm sowie CodeRed ll entfernt.

Wenn Sie auf dieses CodeRed-Entfernungsprogramm nicht zugreifen können, müssen Sie den Wurm manuell entfernen.

Manuelle Entfernung des Wurms

  1. Laden Sie den Patch von der Website http://www.microsoft.com/technet/security/bulletin/MS01-033.asp herunter und installieren Sie ihn.

    Alternativ können Sie den Sammel-Patch für IIS herunterladen und installieren, der hier verfügbar ist: http://www.microsoft.com/technet/security/bulletin/MS01-044.asp.

  2. Starten Sie den Computer neu.


Dokument verfasst von: Eric Chien