Červený kód

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 8. dubna 2020; kontroly vyžadují 3 úpravy .
červený kód
Celé jméno (Kaspersky) Net-Worm.Win32.CodeRed.a
Typ síťový červ
Rok vzhledu 2001
Použitý software MS IIS
Popis Symantec

Code Red  je počítačový virus , což je vícevektorový síťový červ , který byl vypuštěn do sítě 13. července 2001 . Napadl počítače běžící na webovém serveru Microsoft IIS , po úspěšné infekci spustil DoS útok na webovou stránku whitehouse.gov [1] [2] .

Popis

Jsou známy minimálně dvě základní verze síťového červa Code Red . První byl spuštěn v pátek 12. července 2001. Nepoužil e-mail k šíření nebo infikování souborů aplikace. Infikováním nového počítače červ vytvořil 100 svých klonů, z nichž každý začal hledat nové cíle, které by se rozšířily prostřednictvím zranitelností webového serveru IIS společnosti Microsoft . Jak se ukázalo, v logice červa došlo k několika vážným chybám, které způsobily spuštění druhé verze viru. Objevil se ráno v 10:00 19. července 2001 a do 14:00 se mu podařilo infikovat přibližně 359 000 počítačů. Právě ona se dostala na přední stránky médií [3] .

Podrobný a funkční popis a analýzu červa provedli specialisté eEye Digital Security . Také dali viru jméno - odkaz na vzhled Mountain Dew a varovnou frázi ve viru "Hacked By Chinese!" ("Hacked by Chinese!") je narážka na komunistickou Čínu , ačkoli ve skutečnosti byl virus s největší pravděpodobností napsán etnickými Číňany na Filipínách . Touto frází červ nahradil obsah webových stránek na infikovaném serveru .

Červ použil chybu zabezpečení v nástroji pro indexování, který byl dodán s webovým serverem Microsoft IIS . Tuto chybu zabezpečení popsal prodejce  – společnost Microsoft – na svém webu MS01-033  (anglicky) ; kromě toho byla měsíc před epidemií vydána odpovídající aktualizace .

Užitečné zatížení červa mu umožňovalo provádět následující:

Zranitelnost, kterou červ využívá, je založena na přetečení vyrovnávací paměti . Během skenování Code Red nekontroloval přítomnost IIS na novém obětním počítači, ale jednoduše odeslal exploit pakety přes síť na vygenerovanou IP adresu v naději, že značná část infekcí odeslaných v takto dosti neefektivním způsob, jak najít své oběti. Tato intenzivní metoda skenování vedla k obrovskému množství nevyžádané komunikace , přetížení sítí a administrátorům byla přítomnost červa téměř zřejmá. Z důvodu známého pouze tvůrcům viru se virus aktivně šíří pouze od 1. do 19. dne každého měsíce a po zbytek času přechází na infikované počítače do režimu hibernace [4] .

I v protokolech serveru Apache , na který se zranitelnost IIS samozřejmě nevztahovala, bylo možné najít takové požadavky:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Celkem bylo identifikováno nejméně šest verzí původního kódu červa [5] . Odborníci na eEye tvrdí, že červ se začal šířit z Makati City na Filipínách . Brzy, 4. srpna 2001, se začal šířit nový červ Code Red II , jehož kód byl i přes podobný název vytvořen nově.

Viz také

Poznámky

  1. Fisk, 2009 , str. 124.
  2. Boulanger, Ghosh, 2010 , Code Red, str. 58-59.
  3. Boulanger, Ghosh, 2010 , Code Red, str. 59-60.
  4. Boulanger, Ghosh, 2010 , Code Red, str. 59.
  5. Boulanger, Ghosh, 2010 , Code Red, str. 60.

Zdroje

Odkazy