Vorsichtsmassnahmen Code Red

Ein Wurm " Code Red" und neue Varianten davon breiten sich seit einigen Tagen im Internet selbständig aus und infizieren Computer. Betroffen sind Windows-NT und Windows 2000-Systeme, auf welchen die Server-Software "IIS4" und "IIS5" installiert ist.

Der Wurm sucht im Internet nach angreifbaren Systemen und infiziert diese selbständig. Die Verbreitung dieses Wurms kann Computersysteme verlangsamen, gar lahm legen oder zu Störungen führen. Ihr Cablemodem kann zum Beispiel Datentransfer anzeigen, ohne dass der Computer eingeschaltet ist. Vom Virus infizierte Computer können zudem Hackern problemlos Zugriff gestatten da dieser im System eine Hintertüren öffnet.

Bisher hat "Code Red" weltweit einige hundert tausend Systeme infiziert. Betroffen sind jedoch lediglich einige hundert hispeed Kunden die trotz Empfehlungen bis heute Ihren Computer nicht schützten. Diese betroffenen Kunden werden nun in den nächsten Tagen aufgefordert, Ihren Computer von Code Red zu befreien.


Beheben des "Code Red Wurms" Problems

Was ist ein "Code Red Wurm"?

Die bis jetzt bekannten Versionen unterscheiden sich wie folgt:

  • Die ältere Version ist ein so genannter Wurm, welcher eine Schwachstelle im IIS-Server von Microsoft ausnutzt und ausschließlich im Memory lebt (d.h. nach Rebooten des Systems ist der Wurm nicht mehr auf dem Computer, kann jedoch ohne Patch wieder infiziert werden).

     
  • Die neuere Version ("Code Red II") nutzt ebenfalls dieselbe Schwachstelle im IIS-Server aus, nistet sich aber im Computer ein (ist auch nach einem Reboot des Systems noch vorhanden) und öffnet Hintertüren für Hacker auf dem Computer.

     
  • Es werden in Zukunft weitere Versionen auftauchen, welche ebenfalls die genannte Schwachstelle ausnutzen werden.
     


Betriebs-Systeme welche betroffen sind:

  • Microsoft NT 4.0 Systeme auf welchen IIS 4.0 oder IIS 5.0 läuft und Indexserver 2.0 installiert ist

     
  • Microsoft Windows 2000 Systeme auf welche IIS 4.0 oder IIS 5.0 läuft und der Indexserver 2.0 installiert ist


Der IIS Service:

Der IIS Service wird bei gewissen Windows Versionen bei einer Standard - Installation von selbst installiert, wird jedoch nur dann benötigt, falls der Rechner als Server (http, smtp, ftp o.ä) eingesetzt wird. (Wird von normalen Internet Usern nicht gebraucht.)


Das Reinigen eines infizierten Computers:

Allgemein ist zu bemerken, dass eine betroffene Maschine wegen der Möglichkeit von installierten Hintertüren neu aufgesetzt werden sollte. Das heißt, das Betriebssystem sollte komplett neu installiert werden.
Die unten dargestellte Vorgehensweise zeigt nur wie der Wurm (Virus) von einem betroffenen Rechner entfernt werden kann. Diese Beschreibung bezieht sich auf die bis zum 08.08.2001 bekannten Versionen des Code Red Wurms.

  • Falls Sie über ein Anti Virus Programm verfügen, laden Sie von der Homepage des entsprechenden Herstellers das neuste Update herunter. Bei einigen Programmen kann dies auch direkt in den Einstellungen des Programms gemacht werden.

     
  • Nun laden Sie den entsprechenden Patch von der Microsoft Homepage:

NT4.0: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Win2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

  • Laden Sie von der Seite http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878 das File CodeRedCleanup.exe - 56 Kb (gemäß Microsoft Angaben entfernt dieses Programm den Wurm "Code Red II" vollständig aus Ihrem System)

     
  • Nach diesem Update des Anti Viren Programms, Download des Patches und des Files, nehmen Sie Ihren Computer vom Netz (RJ45 Kable von der Netzwerkkarte trennen) und lassen durch das Anti Virus Programm Ihren Computer nach Viren durchsuchen

     
  • Installieren Sie den Patch für den IIS-Server und starten Sie den Computer neu. Nach Installation dieses Patches, ist Ihr Computer vor einer Neuinfektion des "Code Red"-Wurms sicher (im Fall einer Infektion mit "Code Red II" sind aber immer noch versteckte Dateien auf Ihrem Computer vorhanden).

     
  • Nach dem Neustart führen Sie das File "CodeRedCleanup.exe" aus. Der Computer wird automatisch neu gestartet.

     
  • Ihr Computer sollte nun geschützt und frei von dem Wurm sein

ACHTUNG: Die oben beschriebene Anleitung wurde von Cablecom Schritt für Schritt getestet, wir übernehmen keine Verantwortung für Probleme, die bei der Anwendung entstehen könnten. Die Auswirkungen auf den Computer der verwendeten Patches liegt ebenfalls in Ihrer Verantwortung.