linux-l: Wichtige Warnung vor CodeRed

Peter Becker peter.becker at oberkassel.de
Di Jul 31 14:20:34 CEST 2001


Es gibt ein sehr großes Sicherheitsproblem: (bitte aufmerksam lesen)
Es muß noch HEUTE unbedingt gehandelt werden, falls ihr irgendwo RedHat 7.0,
Windows NT oder 2000
installiert habt!

Sicher habt ihr schon vom CodeRed-Wurm gehört.
Es ist ein neuer Email-Wurm, der das empfindliche Gleichgewicht zwischen
Hackern und Virenschreibern umgeschmissen hat.
In meinen Augen ist dies auch erst der Anfang von einer großen Gefahr, die
in sehr naher Zukunft auf uns zukommt.
Denn das System des Wurms wird schon jetzt verändert und weiter
perfektioniert. Weitere bekannte Sicherheitslücken in anderen Systemen und
Programmen, die attackiert werden können werden hinzugefügt.
Davon abgesehen, das der Wurm auch eigenständig mutiert und gefährlicher
wird.

Dieser Wurm ist eine Mischung aus Mail-Wurm und Virus, der abartigerweise
Hacker-Technologie verwendet.
Diese Kreuzung ist unglaublich gefährlich.


Nun zum Wurm an sich:
Er verteilt sich per Mail auf sehr intelligente Weise:

- Er besitzt immer ein neues Subject (dieser lautet so, wie die angehängte
Datei)
- Er hat einen ganzen Pool von möglichen Mailtexten, die im Body der Mail
stehen.
- Er bringt im Code seinen eigenen SMTP-Server (Mailserver zum Versenden)
mit, mit dem er sich verteilt, sprich er fällt einfach gar nicht auf.
- Er liest alle gängigen Windows-Adressbücher aus und verschickt sich an
alle eingetragenen Mailadressen.
- Dies macht er folgendermaßen: Er schnappt sich wahllos eine Word oder
Excel-Datei aus dem Verzeichnis "Eigene Dateien" (VORSICHT! Nicht
unterschätzen! Auf diese Art wurden schon in unglaublichem Ausmaß
vertrauliche Kundeninformationen über den gesammten Globus gejagt.) dann
benennt er diese Datei folgendermaßen um: Er hängt die Dateierweiterung .lnk
oder .bat dahinter (welche von Virenscannern als harmlos eingestuft wird,
ausführbar ist und bei den meisten Systemen gar nicht erst angezeigt wird),
benennt den Subject nach dieser Datei (ohne .doc oder .xls Erweiterung) und
sucht sich aus seinem content-pool irgendeinen Mailtext aus und
unterschreibt mit dem richtigen Namen der infizierten Person. Er setzt
seinen eigenen Code genau vor das angehängte Dokument und wird somit erst
ausgeführt und öffnet anschließend das Dokument auf völlig normale Weise.
- Ist er aktiv, so setzt er sich in den Arbeitsspeicher des Computers und
wird somit fast völlig unsichtbar.
- Durch seine intelligente

Soviel zum Wurm, der sich verteilt. Aber dann geht es erst richtig los.
Der Wurm verteilt sich noch wesentlich aggressiver, sobald er aktiv ist:

- Zwischen dem 1. und 28. eines Monats wird er aktiv.
- Er scannt wahllose IP-Adressbereiche nach anderen aktiven CodeRed-Würmern
und connectet diese.
- Dann scannt er organisiert IP-Adressbereiche, wobei sich die Würmer
untereinander absprechen (Dieses Verfahren ist in der Hackergemeinde sehr
beliebt und nennt sich Rescource-Sharing, was zum Beispiel dafür verwendet
wird, um langwierige Prozesse zwischen mehreren Computern aufzuteilen, damit
die Arbeit in einem Bruchteil der Zeit erledigt wird)
- Er benutzt die (unter Hackern) bekannten Sicherheitslücken, NT und
2000-Systeme anzugreifen nach dem sogenennten "Buffer overflow"-Verfahren.
Gegen diese Buffer-Überläufe ist man zwar mittlerweile (durch Patches)
halbwegs gefeit, jedoch nur gegen einzelne Angreifer.
- Wenn ein CodeRed-Wurm allerdings bei seiner organisierten Suche nach
Opfern eins gefunden hat, meldet er allen verbundenen Würmern diese
IP-Adresse und ALLE zusammen starten den Hackvorgang auf diesen Rechner.
- Sie machen regelrechte DoS (Denial of Service) Attacken, bis der Buffer
überläuft.
- Sobald der Buffer mit dem Wurmcode geflutet wird, wird dieser mit
administrativen Rechten ausgeführt.
- Durch diese Angriffsvereinigung passiert dies in unglaublich geringer Zeit
(kann eventl. nur Sekunden dauern)
- Dadurch installiert sich der Wurm auf diesem Computer, setzt sich in den
Arbeitsspeicher der Maschine und connectet die anderen.
- Genau in dem Moment werden die DoS-Attacken wieder unterbunden und die
Wurmvereinigung scannt weiter nach Opfern.
- Durch diese schnellen und sehr präzise organisierten Mechanismen ist es
schier unmöglich zu bemerken, das man selbst infiziert wurde oder selbst
schon zu dem Wurm-Pool gehört, der permanent weiter nach Opfern sucht.

Diese Art sich zu verteilen ist derart aggressiv und offensiv, das der Wurm
am Tag seiner Entstehung (19. Juli) innerhalb von den ersten 9 Stunden über
250.000 Rechensysteme infiziert hat. Wie schnell er sich seit dem verbreitet
ist noch nicht genau bekannt.

Auf diese Art und Weise !!!BREMMST ER DAS GANZE INTERNT AUS!!!
Er generiert einen unglaublichen Traffic weltweit und überflutet
Mailaccounts.
Desweiteren besteht die Möglichkeit das neuer Hack-Code an die installierten
Würmer verteilt werden kann, der sich in kürzester Zeit an ALLE Würmer
weiterverteilt.


Die Verwundbaren Systeme: (bisher)

Windows NT und Windows 2000 Server UND Workstations, die entweder den IIS
(InternetInformationServer) 4.0 oder 5.0 installiert haben, ODER den
Microsoft Index-Server 2.0 installiert haben.
Dieser MS Index-Server gehört zur Standard-Installation von NT und 2000 und
ist daher (wenn auch nicht aktiv, oder genutzt) auf so gut wie ALLEN NT oder
2000 Systemen zu finden.
Spätestens, wenn man ein Office-Produkt installiert hat, wird der
Index-Server mit installiert.

Mittlerweile gibt es Mutationen, die ebenfalls Linux-Systeme angreifen und
zwar handelt es sich bei den Verwundbaren Systemen um: RedHat 7.0, Conectiva
Linux 7.0 und Conectiva Linux 6.0.

Meines Erachtens nach ist das erst der Anfang, denn diese Technologie
existiert nun mal und hat die Büchse der Pandorra geöffnet. Ein HACKER kommt
in fast jedes System mit irgendeinem Trick.
Wenn nun so gut, wie alle gängigen Hack-Mechanismen in diesen Wurmcode
implementiert werden, (egal von wem) haben wir in kürzester Zeit ein sehr
ernstzunehmendes Problem.


Wir können ihn nur jetzt so schnell, wie möglich stoppen.
Er wird heute abend wieder aktiv.


Hier finden sich die Patches:
- - Windows NT version 4.0:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833
- - Windows 2000 Professional, Server and Advanced Server:
  http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Wenn ihr ein WinNT oder 2000-System laufen haben, dann installiert noch
HEUTE die Patches.


Falls Fragen zu der Warnung oder dem Vorgehen gegen den Wurm bestehen:
Step-by-step instructions for these actions are posted at
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutio
ns/security/topics/codeptch.asp


Mit freundlichem Gruß
Peter Becker





Mehr Informationen über die Mailingliste linux-l