Code Red
Code Red — компьютерный вирус, представляющий собой многовекторный сетевой червь, выпущенный в сеть 13 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS, после успешного заражения начинал DoS-атаку на веб-страницу whitehouse.gov[1][2].
Code Red | |
---|---|
Полное название (Касперский) | Net-Worm.Win32.CodeRed.a |
Тип | Сетевой червь |
Год появления | 2001 |
Используемое ПО | MS IIS |
Описание Symantec |
Описание
Известно как минимум о двух базовых версиях сетевого червя Code Red. Первая была запущена в пятницу, 12 июля 2001 года. Она не использовала для распространения ни электронную почту, ни заражение файлов приложений. Инфицируя новый компьютер червь создавал 100 клонов самого себя, каждый из которых начинал искать новые цели для распространения через уязвимости веб-сервера IIS компании Microsoft. Как оказалось, в логике работы червя было несколько серьёзных ошибок, которые послужили причиной запуска второй версии вируса. Oнa появилась утром в 10:00 19 июля 2001 года и к 14:00 успела заразить примерно 359 тысяч компьютеров. Именно она попала на первые страницы средств массовой информации[3].
Подробное и оперативное описание и анализ червя были сделаны специалистами компании eEye Digital Security. Они также дали вирусу название — намёк на вид напитка Mountain Dew и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на коммунистический Китай, хотя в действительности вирус скорее всего был написан этническими китайцами на Филиппинах. Этой фразой червь заменял содержимое веб-сайтов на заражённом сервере.
Червь использовал уязвимость в утилите индексирования, которая поставлялась с веб-сервером Microsoft IIS. Эта уязвимость была описана вендором — Microsoft — на их сайте MS01-033 (англ.); кроме того, за месяц до эпидемии было выпущено соответствующее обновление.
Полезная нагрузка червя позволяла ему делать следующее:
- Заменять содержимое страниц на поражённом сайте на следующую фразу:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Сканировать и пробовать новые жертвы с IIS, генерируя IP-адреса по определённому алгоритму
- Спустя 20—27 дней после заражения начать DoS-атаку на несколько IP-адресов, один из которых принадлежал американскому Белому дому.
Уязвимость, используемая червём, основана на переполнении буфера. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал пакеты с эксплойтом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного трафика, перегружая сети и делая присутствие червя практически очевидным для администраторов. По известной только создателям вируса причине, он активно распространялся только с 1-го по 19-е число каждого месяца, уходя в «спячку» на инфицированных машинах в оставшееся время[4].
Даже в логах сервера Apache, на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:
- GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNN
- %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
- %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
- %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Всего было идентифицировано как минимум шесть версий оригинального кода червя[5]. Эксперты eEye утверждают, что червь начал распространение из Макати-Сити на Филиппинах. Вскоре, 4 августа 2001 года, начал распространяться новый червь Code Red II, код которого, несмотря на схожее название, был создан заново.
См. также
Примечания
- Fisk, 2009, p. 124.
- Boulanger, Ghosh, 2010, Code Red, p. 58—59.
- Boulanger, Ghosh, 2010, Code Red, p. 59—60.
- Boulanger, Ghosh, 2010, Code Red, p. 59.
- Boulanger, Ghosh, 2010, Code Red, p. 60.
Источники
- A. Boulanger, S. Ghosh. Malicious Code // Cybercrimes: A Multidisciplinary Analysis / S. Ghosh, E. Turrini. — Springer, 2010. — 45-72 p. — ISBN 978-3-642-13547-7. — doi:10.1007/978-3-642-13547-7.
- N. Fisk. Malware Incidents // Encyclopedia of Cybercrime / Samuel C. McQuade, III. — London : Greenwood Press, 2009. — P. 124. — ISBN 978-0-313-33974-5.