Code Red (wirus komputerowy)

Code Red
	CRv, CRvII
Inne nazwy	.ida Code Red Worm
Rodzaj	robak komputerowy
Typ	blokujący serwery
Data izolacji	15 lipca 2001(dts)

Code Red – specyficzny rodzaj robaka komputerowego, odkryty w Internecie 15 lipca 2001 roku. Atakował on komputery z uruchomionym oprogramowaniem serwera Microsoft Internet Information Server (IIS). Był to pierwszy atak, który z powodzeniem dotknął sieci biurowe^[1].

Robaka po raz pierwszy zlokalizowali i zbadali pracownicy eEye Digital Security, Marc Maiffret i Ryan Permeh, gdy wykorzystywał on lukę bezpieczeństwa odkrytą przez Rileya Hassella. Wspólnie nazwali go Code Red z powodu spożywanego w tym czasie napoju Code Red Mountain Dew^[2].

Pomimo uwolnienia do sieci robaka w dniu 13 lipca, dopiero 19 lipca 2001 roku zanotowano największą liczbę zainfekowanych maszyn – osiągnęła ona 359 tysięcy^[3].

Koncept

Luka bezpieczeństwa

Robak pokazał istnienie dziury bezpieczeństwa w oprogramowaniu dołączanym do IIS, opisanej w dokumencie Microsoft Security Bulletin MS01-033^[4], dla której miesiąc wcześniej wydano łatkę.

Rozprzestrzeniał się wykorzystując przepełnienie bufora. Doprowadzał do niego używając długiego łańcucha powtarzanej litery N, co pozwalało na wykonanie kodu infekującego maszynę. Kenneth D. Eichman jako pierwszy odkrył sposób na zablokowanie robaka i otrzymał za to zaproszenie do Białego Domu^[5].

Działanie

Działanie robaka obejmowało:

zamianę treści wszystkich stron pobieranych z danego serwera WWW wyświetlając tekst:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

inne czynności, zależne od dnia miesiąca:^[6]
- dni 1–19: próbował się kopiować na inne komputery z oprogramowaniem IIS, wyszukując serwery w Internecie
- dni 20–27: uruchamiał atak typu denial of service (DoS) na kilka wybranych adresów IP (w tym m.in. na komputery Białego Domu)^[3]
- dni 28–ostatni: brak aktywności.

W trakcie skanowania w poszukiwaniu zagrożonych komputerów robak nie sprawdzał, czy serwer zdalny używał niezałatanej wersji IIS i czy w ogóle posiadał to oprogramowanie. Dzienniki dostępu serwerów opartych o Apache często zawierały następujący wpis:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Danymi robaka jest ciąg znaków występujący po ostatniej literze 'N'. Z powodu przepełnienia bufora zagrożony host interpretował ten ciąg znaków jako polecenie, rozprzestrzeniając dalej robaka.

Pokrewne

4 sierpnia 2001 roku pojawił się Code Red II. Pomimo identycznego wektora, działał w inny sposób. Pseudo-losowo wybierał cele na tych samych lub innych podsieciach, do których były podłączone zainfekowane komputery, na podstawie określonego stopnia prawdopodobieństwa, faworyzując maszyny działające na własnej podsieci. Dodatkowo używał on ciągu liter 'X' zamiast 'N' do przepełnienia bufora.

Zdaniem eEye robak mógł zostać napisany w Makati na Filipinach, skąd również pochodzi VBS/Loveletter (znany też jako „ILOVEYOU”).

Zobacz też

Nimda
Oś czasu wirusów i robaków komputerowych(ang.)

Przypisy

↑ TrendT. Micro TrendT., Enterprise Prevention and Management of Mixed-Threat Attacks [PDF] (ang.).
↑ Eye DigitalE.D. Security Eye DigitalE.D., ANALYSIS: .ida "Code Red" Worm, [w:] Code Red advisory, 17 lipca 2001 [zarchiwizowane 2011-07-22] (ang.).
↑ ^a ^b DavidD. Moore DavidD., ShannonS. Colleen ShannonS., The Spread of the Code-Red Worm (CRv2), CAIDA Analysis [dostęp 2021-05-14] (ang.).
↑ Microsoft, Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, Security TechCenter [zarchiwizowane 2012-09-09] (ang.).
↑ RobR. Lemos RobR., Virulent worm calls into doubt our ability to protect the Net, [w:] Tracking Code Red, CNET News [zarchiwizowane 2011-06-17] (ang.).
↑ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL, CERT/CC, 17 lipca 2001 [dostęp 2021-05-14] [zarchiwizowane 2012-07-21] (ang.).

Linki zewnętrzne

Code Red II analysis, Unixwiz.net [zarchiwizowane 2019-12-13] (ang.).
CAIDA Analysis of Code-Red, Cooperative Association for Internet Data Analysis (CAIDA), San Diego Supercomputer Center (SDSC) [zarchiwizowane 2019-10-22] (ang.).
JeffJ. Brown JeffJ., DavidD. Moore DavidD., Animation showing the spread of the Code Red worm on 19 July 2001 [QuickTime Movie] [zarchiwizowane 2016-04-14] (ang.).

[1] TrendT. Micro TrendT., Enterprise Prevention and Management of Mixed-Threat Attacks [PDF] (ang.).

[2] Eye DigitalE.D. Security Eye DigitalE.D., ANALYSIS: .ida "Code Red" Worm, [w:] Code Red advisory, 17 lipca 2001 [zarchiwizowane 2011-07-22] (ang.).

[caida-3] DavidD. Moore DavidD., ShannonS. Colleen ShannonS., The Spread of the Code-Red Worm (CRv2), CAIDA Analysis [dostęp 2021-05-14] (ang.).

[4] Microsoft, Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, Security TechCenter [zarchiwizowane 2012-09-09] (ang.).

[5] RobR. Lemos RobR., Virulent worm calls into doubt our ability to protect the Net, [w:] Tracking Code Red, CNET News [zarchiwizowane 2011-06-17] (ang.).

[6] CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL, CERT/CC, 17 lipca 2001 [dostęp 2021-05-14] [zarchiwizowane 2012-07-21] (ang.).

[1]

[2]

[3]

[4]

[5]

[6]

Navigation

Nawigacja

Portale tematyczne