Warnung vor einem Trojaner namens ‘Rolark’

Nur zehn Tage nachdem eine Schwachstelle in Microsofts Internet Information Server (IIS), Release 5, entdeckt wurde ist ein darauf abgestimmter Trojaner unterwegs. Die Virenspezialisten von Panda Software berichten von ersten Zwischenfällen mit dem Schädling, der unter dem Namen Trj/Rolark unterwegs ist.

Bei der Schwachstelle im Microsoft-Produkt handelt es sich um einen Buffer Overflow in der NTDLL.DLL-Library, die von verschiedenen Komponenten verwendet wird. In diesem Fall betrifft es die WebDAV-Komponente, die mit dem IIS in Verbindung steht. Bei bestimmten Abfragen an WebDAV kann der Angreifer die vollständige Kontrolle über der Server gewinnen.

Rolark ist kein typischer Trojaner, da er sich weder selbst auf dem Server installieren noch Dateien generieren muss, um seine Attacken auszuführen. Der Code kann dazu auf einem bestimmten Rechner abgelegt und von außen gesteuert werden. Der Rechner dient dann als Startrampe für den Angriff auf andere Systeme. Das fiese dabei: die Identität des Start-Rechners bleibt unerkannt.

Zur Erkennung und Entfernung des Virus bietet Panda Software auf seiner Website das Tool Panda ActiveScan kostenlos zum Download.