21. Dez 2004 17:45
Ein neuer Internet-Wurm befällt Websites und überschreibt die Daten mit einer Löschmeldung. Er reagiert nur auf ein bestimmtes Dienstprogramm.
Kaspersky Lab, ein russisches IT-Sicherheitsunternehmen, warnt vor einem neuen Internet-Wurm mit dem namen «Net-Worm.Perl.Santy.a». Das Programm infiziert laut Kaspersky-Mitteilung Websites, indem es zu seiner Ausbreitung die Angreifbarkeit im verbreiteten Dienstprogramm zur Schaffung von Internet-Ressourcen «phpBB» nutzt. In seiner Pressemitteilung spricht Kaspersky von einer Ausbreitung, die bereits die Epidemie-Schwelle erreicht habe: «Die Gefahr droht dem gesamten globalen Netz.» Für Internet-Surfer sei der Wurm ungefährlich. Er infiziere zwar die Websites, greife aber nicht auf die Computer ihrer Besucher über.Der Wurm findet Sites, die unter der angreifbaren Version von «phpBB» laufen, indem er selbst eine Anfrage bei Google stellt. Auf die gefundenen Seiten schickt der Wurm eine Zeile, die wiederum die Aktivierungs-Prozedur des Schadprogramms enthält. Während der Bearbeitung dieses Vorgangs durch den attackierten Server dringt der Wurm ein und verschafft sich Zugang zur Steuerung der Ressourcen. «Net-Worm.Perl.Santy.a» dringt in alle Verzeichnisse eines infizierten Angebots und tauscht die Dateien mit den Erweiterungen .htm, .php, .asp, .shtm, .jsp, und .phtm gegen Dateien mit dem folgenden Text aus: «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation».
Die Wurmattacke kann laut Kaspersky durch eine Aktualisierung von «phpBB» auf Version 2.0.11. verhindert oder erschwert werden. (nz)
