červený kód | |
---|---|
Celé jméno (Kaspersky) | Net-Worm.Win32.CodeRed.a |
Typ | síťový červ |
Rok vzhledu | 2001 |
Použitý software | MS IIS |
Popis Symantec |
Code Red je počítačový virus , což je vícevektorový síťový červ , který byl vypuštěn do sítě 13. července 2001 . Napadl počítače běžící na webovém serveru Microsoft IIS , po úspěšné infekci spustil DoS útok na webovou stránku whitehouse.gov [1] [2] .
Jsou známy minimálně dvě základní verze síťového červa Code Red . První byl spuštěn v pátek 12. července 2001. Nepoužil e-mail k šíření nebo infikování souborů aplikace. Infikováním nového počítače červ vytvořil 100 svých klonů, z nichž každý začal hledat nové cíle, které by se rozšířily prostřednictvím zranitelností webového serveru IIS společnosti Microsoft . Jak se ukázalo, v logice červa došlo k několika vážným chybám, které způsobily spuštění druhé verze viru. Objevil se ráno v 10:00 19. července 2001 a do 14:00 se mu podařilo infikovat přibližně 359 000 počítačů. Právě ona se dostala na přední stránky médií [3] .
Podrobný a funkční popis a analýzu červa provedli specialisté eEye Digital Security . Také dali viru jméno - odkaz na vzhled Mountain Dew a varovnou frázi ve viru "Hacked By Chinese!" ("Hacked by Chinese!") je narážka na komunistickou Čínu , ačkoli ve skutečnosti byl virus s největší pravděpodobností napsán etnickými Číňany na Filipínách . Touto frází červ nahradil obsah webových stránek na infikovaném serveru .
Červ použil chybu zabezpečení v nástroji pro indexování, který byl dodán s webovým serverem Microsoft IIS . Tuto chybu zabezpečení popsal prodejce – společnost Microsoft – na svém webu MS01-033 (anglicky) ; kromě toho byla měsíc před epidemií vydána odpovídající aktualizace .
Užitečné zatížení červa mu umožňovalo provádět následující:
AHOJ! Vítejte na http://www.worm.com! Hacknutý Číňany!
Zranitelnost, kterou červ využívá, je založena na přetečení vyrovnávací paměti . Během skenování Code Red nekontroloval přítomnost IIS na novém obětním počítači, ale jednoduše odeslal exploit pakety přes síť na vygenerovanou IP adresu v naději, že značná část infekcí odeslaných v takto dosti neefektivním způsob, jak najít své oběti. Tato intenzivní metoda skenování vedla k obrovskému množství nevyžádané komunikace , přetížení sítí a administrátorům byla přítomnost červa téměř zřejmá. Z důvodu známého pouze tvůrcům viru se virus aktivně šíří pouze od 1. do 19. dne každého měsíce a po zbytek času přechází na infikované počítače do režimu hibernace [4] .
I v protokolech serveru Apache , na který se zranitelnost IIS samozřejmě nevztahovala, bylo možné najít takové požadavky:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0Celkem bylo identifikováno nejméně šest verzí původního kódu červa [5] . Odborníci na eEye tvrdí, že červ se začal šířit z Makati City na Filipínách . Brzy, 4. srpna 2001, se začal šířit nový červ Code Red II , jehož kód byl i přes podobný název vytvořen nově.
Hackerské útoky z roku 2000 | |
---|---|
Největší útoky | |
Skupiny a komunity hackerů | |
osamělí hackeři | |
Zjištěna kritická zranitelnost | |
Počítačové viry |
|
90. léta • 21. století • 10. léta 20. století |