Code Red (wirus komputerowy)
CRv, CRvII | |
Inne nazwy | .ida Code Red Worm |
---|---|
Rodzaj | |
Typ | blokujący serwery |
Data izolacji | (dts) 15 lipca 2001 |
Code Red – specyficzny rodzaj robaka komputerowego, odkryty w Internecie 15 lipca 2001 roku. Atakował on komputery z uruchomionym oprogramowaniem serwera Microsoft Internet Information Server (IIS). Był to pierwszy atak, który z powodzeniem dotknął sieci biurowe[1].
Robaka po raz pierwszy zlokalizowali i zbadali pracownicy eEye Digital Security, Marc Maiffret i Ryan Permeh, gdy wykorzystywał on lukę bezpieczeństwa odkrytą przez Rileya Hassella. Wspólnie nazwali go Code Red z powodu spożywanego w tym czasie napoju Code Red Mountain Dew[2].
Pomimo uwolnienia do sieci robaka w dniu 13 lipca, dopiero 19 lipca 2001 roku zanotowano największą liczbę zainfekowanych maszyn – osiągnęła ona 359 tysięcy[3].
Koncept
Luka bezpieczeństwa
Robak pokazał istnienie dziury bezpieczeństwa w oprogramowaniu dołączanym do IIS, opisanej w dokumencie Microsoft Security Bulletin MS01-033[4], dla której miesiąc wcześniej wydano łatkę.
Rozprzestrzeniał się wykorzystując przepełnienie bufora. Doprowadzał do niego używając długiego łańcucha powtarzanej litery N, co pozwalało na wykonanie kodu infekującego maszynę. Kenneth D. Eichman jako pierwszy odkrył sposób na zablokowanie robaka i otrzymał za to zaproszenie do Białego Domu[5].
Działanie
Działanie robaka obejmowało:
- zamianę treści wszystkich stron pobieranych z danego serwera WWW wyświetlając tekst:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- inne czynności, zależne od dnia miesiąca:[6]
- dni 1–19: próbował się kopiować na inne komputery z oprogramowaniem IIS, wyszukując serwery w Internecie
- dni 20–27: uruchamiał atak typu denial of service (DoS) na kilka wybranych adresów IP (w tym m.in. na komputery Białego Domu)[3]
- dni 28–ostatni: brak aktywności.
W trakcie skanowania w poszukiwaniu zagrożonych komputerów robak nie sprawdzał, czy serwer zdalny używał niezałatanej wersji IIS i czy w ogóle posiadał to oprogramowanie. Dzienniki dostępu serwerów opartych o Apache często zawierały następujący wpis:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Danymi robaka jest ciąg znaków występujący po ostatniej literze 'N'. Z powodu przepełnienia bufora zagrożony host interpretował ten ciąg znaków jako polecenie, rozprzestrzeniając dalej robaka.
Pokrewne
4 sierpnia 2001 roku pojawił się Code Red II. Pomimo identycznego wektora, działał w inny sposób. Pseudo-losowo wybierał cele na tych samych lub innych podsieciach, do których były podłączone zainfekowane komputery, na podstawie określonego stopnia prawdopodobieństwa, faworyzując maszyny działające na własnej podsieci. Dodatkowo używał on ciągu liter 'X' zamiast 'N' do przepełnienia bufora.
Zdaniem eEye robak mógł zostać napisany w Makati na Filipinach, skąd również pochodzi VBS/Loveletter (znany też jako „ILOVEYOU”).
Zobacz też
- Nimda
- Oś czasu wirusów i robaków komputerowych(ang.)
Przypisy
- ↑ Trend Micro, Enterprise Prevention and Management of Mixed-Threat Attacks [PDF] (ang.).
- ↑ Eye Digital Security , ANALYSIS: .ida "Code Red" Worm, [w:] Code Red advisory, 17 lipca 2001 [zarchiwizowane 2011-07-22] (ang.).
- ↑ a b David Moore , Shannon Colleen , The Spread of the Code-Red Worm (CRv2), CAIDA Analysis [dostęp 2021-05-14] (ang.).
- ↑ Microsoft, Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise, Security TechCenter [zarchiwizowane 2012-09-09] (ang.).
- ↑ Rob Lemos , Virulent worm calls into doubt our ability to protect the Net, [w:] Tracking Code Red, CNET News [zarchiwizowane 2011-06-17] (ang.).
- ↑ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL, CERT/CC, 17 lipca 2001 [dostęp 2021-05-14] [zarchiwizowane 2012-07-21] (ang.).
Linki zewnętrzne
- Code Red II analysis, Unixwiz.net [zarchiwizowane 2019-12-13] (ang.).
- CAIDA Analysis of Code-Red, Cooperative Association for Internet Data Analysis (CAIDA), San Diego Supercomputer Center (SDSC) [zarchiwizowane 2019-10-22] (ang.).
- Jeff Brown , David Moore , Animation showing the spread of the Code Red worm on 19 July 2001 [QuickTime Movie] [zarchiwizowane 2016-04-14] (ang.).
Media użyte na tej stronie
Screenshot of a website defaced by the Code Red computer worm. Not included in the screenshot is the title of the page, which would have read "HELLO!".