Kode rød: Rask spredning av ny orm

En ny orm, kalt Code Red, sprer seg raskt gjennom via det månedsgamle hullet Microsofts IIS-servere. Vandaliserte nettsider og DoS-angrep er konsekvensene, sier sikkerhetshackerne i Eeye.

Nok en gang er det hackerne i sikkerhetsselskapet eEye som sier fra om nye sikkerhetstrusler mot IIS-serveren. Det gjorde de også for én måned siden, da det gigantiske buffer overflow-hullet ble avslørt.

Denne gangen er det en orm som utnytter alle der serverne som ikke er lappet, til å snike seg inn, vandalisere nettsider og muligens forårsake DoS-angrep, skriver nyhetstjenesten CRN.
Eeye fant ormen etter å ha analysert informasjon de mottok fra to systemadministratorer fredag. De to hadde blitt forsøkt angrepet.


- Dette er en "storing". En mengde systemer blir infisert, sier sjefshacker Marc Maiffret. Han forteller at selskapet allerede har fått meldinger om at minst 5.000 servere skal ha blitt angrepet på tre dager.

Ormen, med fullt navn .ida "Code Red", utnytter buffer overflow-svakheten i IIS´ indekseringstjeneste. Etter å ha infisert serveren, genererer ormen 100 tilfeldige IP-adresser som den begynner å skanne for etter nye IIS-servere den kan infisere. Den klusser også på nettsider på serveren, slik at teksten "Hacked by Chinese!" kommer opp på skjermen, skriver CRN.

Ormen bruker det samme grunnlaget for tilfeldig generering av IP-adresser, noe som fører til at adressene på begynnelsen av listen blir utsatt for skanning hver gang, slik at de teknisk kan bli satt ut av spill på grunn av for mye trafikk - altså et DoS-angrep.

Alt, ifølge Maiffret, som mener dette bør få alle som kjører IIS til å lappe hullene sine øyeblikkelig.

Til toppen