Er lijkt in Nederland een nieuwe variant op de IIS Worm 'Code Red' gesignaleerd te zijn. Deze variant is veel intensiever in zijn scans naar slachtoffers dan de originele 'Code Red'-worm. De scans van deze nieuwe variant zijn te herkennen aan een ander formaat van de request-string. Kwamen bij de vorige 'Code Red' uitbraak gemiddeld zo'n 2 a 3 scans per uur binnen, door deze variant is sinds vanmiddag half 4 een scherpe stijging te zien in het aantal scans, soms meer dan 20 per uur.
De requeststring van deze variant ziet er als volgt uit (Apache logfile):
212.120.117.3 - - [04/Aug/2001:18:18:02 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 286
Wellicht ten overvloede: mocht je je eigen IIS draaiende server nog niet gepatcht hebben, haal dan alsnog de patch op. Zie voor meer informatie over deze nieuwe variant, de nieuwsgroepen nl.internet.misbruik en nl.internet.www.server-side.
Update: bij www.incidents.org hebben ze een grondige analyse van deze nieuwe variant online gezet.
Bedankt Jan Ehrhardt en Erik Hensema voor de tip!