Sadmind-Wurm attackiert Windows via Solaris

Uhr | Aktualisiert
Ein neuer Wurm ist unterwegs im Internet: Sadmind/IIS, auch bekannt als Backdoor.Sadmind, hat es auf zwei Betriebsysteme abgesehen, Solaris und Windows NT. Gefährdet sind auf Solaris-Seite ungepatchte Rechner mit Version 7 oder darunter. Der Wurm benutzt einen Buffer-overflow im Programm Solstice Sadmind. Über Port 600 späht Sadmind/IIS anschliessend nach weiteren Computern, die sich zur Übernahme eignen. Im zweiten Schritt befallen werden neben Solaris-Rechnern auch Windows-Webserver mit ungepatchtem IIS. Auf den infizierten IIS-Servern kann der Wurm nun den Webinhalt beliebig abändern. Auf dem Solaris-Host legt Sadmind/IIS derweil eine Liste von gekaperten Systemen an. Kann der zweitausendste Server der Liste hinzugefügt werden, überschreibt der Wurm alle index.html-Files des Hosts mit einer gegen die amerikanische Regierung gerichteten Message. Als Urheber gibt sich die Hacker-Gruppe PoizonBOx zu erkennen. Gemäss einer auf Attrition.org veröffentlichten Liste sollen bereits an die 9000 Systeme vom Wurm befallen worden sein.