Tidligere i denne uge kunne ComON fortælle, at der er observeret en række identiske angreb mod danske webservere, som tilsyneladende skyldes en ny internet-orm. Siden er ormen blevet analyseret og døbt Code Red, fordi den med stor sandsynlighed stammer fra Kina.
Code Red udnytter et kendt sikkerhedshul i Microsofts webserver IIS, den såkaldte "index-server" fejl, der blev opdaget af sikkerhedsfirmaet eEye Digital Security i sidste måned. Eksperter hos eEye siger nu, at man har analyseret ormens virkemåde og fundet omkring 12.000 inficerede servere.
Den nye orm starter med at scanne "tilfældige" IP-adresser efter sikkerhedshullet, hvorefter den spreder sig selv til sårbare maskiner og udskifter forsiden på alle websites, som er hostet på serveren, med teksten: "Welcome to http://www.worm.com. Hacked på Chinese".
Microsoft mener, at worm.com fungerer som opsamlingssted for informationer, der er stjålet fra inficerede maskiner, og softwarefirmaet har fået sitets internet-udbyder til at lukke hjemmesiden.
Hos eEye mener man ikke at det har nogen særlig effekt. Code Red indeholder nemlig en fejl, som betyder at hver kopi af ormen scanner de samme IP-adresser i den samme rækkefølge. Hvis man sidder med en af de servere, der scannes først når ormen har kopieret sig selv over på en ny maskine, kan man dermed opbygge en liste over alle inficerede computere.
En af eEye's klienter ejer en af de første IP-adresser på angrebslisten, og det har gjort det muligt for sikkerhedsfirmaet at registrere, helt præcis hvor mange kopier af Code Red der er i omløb på nettet, og dermed hvor mange servere der er inficeret. Firmaet har talt omkring 12.000 inficeringer indtil nu.
Det danske sikkerhedsfirma eSec fortæller, at de grene af ormen, som man overvåger, ser ud til at have nedadgående aktivitet, men indrømmer samtidig at der er andre rapporter om stor aktivitet.
"Blandt de faktorer der begrænser denne orm i forhold til sadmind/IIS ormen, der rasede i maj måned, er det faktum at den kun inficerer engelske versioner af IIS 5.0 webserveren, og har en dårlig mekanisme til at generere tilfældige adresser for nye angreb," fortæller Peter Jelver, teknisk chef hos eSec.
Yderligere ser det ud til at denne orm ikke gemmer sit program på harddisken, så genstart af en inficeret server vil sandsynligvis stoppe ormen i første omgang. Alligevel anbefaler eSec, at man hurtigst muligt lukker sikkerhedshullet.
"Når der snart kommer flere detaljer frem om Code Red, vil der dog være en risiko for at hackerne bygger "forbedrede" versioner. Derfor er det vigtigt at brugere af IIS 5.0 får installeret den sikkerhedsrettelse fra Microsoft, der blokeret det hul, som Code Red ormen benytter," siger Peter Jelver.
Læs også:
