Červený kód II

Červený kód II
Typ	síťový červ
Rok vzhledu	4. srpna 2001

Code Red II (chybně také známý jako CRv3 nebo Code Red 3.0 ) je síťový červ , který se objevil v sobotu ráno 4. srpna 2001 - o něco později než virus Code Red [1] .

Ačkoli by si někdo mohl myslet, že tento červ je variantou Code Red, ve skutečnosti se jedná o dva různé červy, které se šíří pomocí různých algoritmů a obsahují různé užitečné zatížení [2] .

Nesprávný název viru

Code Red II je často označován jako Code Red 3.0 nebo CRv3, protože je často mylně považován za novou verzi Code Red, i když „první“ červ měl pouze dvě verze [2] .

Schéma práce

Algoritmus pro generování IP adres a šíření Code Red II je zaměřen spíše na infikování počítačů ze stejné podsítě jako infikovaný počítač, tento algoritmus byl dobrý pro infikování uživatelů kabelovými modemy . I když je to nepravděpodobné, je možné, aby uživatel obdržel oba červy Code Red [1] .

V 1 z 8 případů červ vygeneruje náhodnou IP adresu, která není v žádném z místních rozsahů IP adres, v polovině případů zůstane ve stejném rozsahu třídy A jako místní IP adresa a ve 3 případech z 8 případů zůstane ve stejném rozsahu třídy B místní adresy IP. Pokud vygenerovaná IP adresa začíná na 127 nebo 224 nebo se shoduje s adresou místního systému, vygeneruje se nová adresa [2] .

Při infikování červ také zkontroluje, zda je místní jazyk stroje čínština a zda je na něm nainstalován „atom“ „CodeRedII“: pokud ano, virus přejde do režimu spánku, jinak virus nainstaluje atom a pokračuje ve své práci. Vytváří trojský kůň explorer.exe, jehož prostřednictvím může útočník vzdáleně získat přístup k serveru [2] .

Červ po své práci usne 1 den (2 dny, pokud je v systému čínština), poté restartuje Windows [2] .

Oba Code Red a Code Red II využívají stejnou zranitelnost v Internet Information Services . Microsoft vydal opravu , kde byla zranitelnost opravena v polovině června téhož roku - měsíc před objevením obou virů. Na konci července, po probuzení Code Red, byla zorganizována kampaň, která měla uživatele povzbudit k instalaci tohoto patche [3] .

Podpis Code Red II zobrazený v protokolu webového serveru:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b% u53ff %u0078%u0000%u00=a HTTP/1.0

Od podpisu Code Red se liší tím, že znaky „N“ jsou nahrazeny „X“ [1] .

Viz také

Nimda - červ, který používal zadní vrátka zbylá po Code Red II

Poznámky

↑ 1 2 3 Analýza nové varianty "Code Red II" (odkaz není k dispozici) . Unixwiz.net. Datum přístupu: 14.05.2022. Archivováno z originálu 13. prosince 2019. (neurčitý)
↑ 1 2 3 4 5 Řešení pro správu zranitelnosti (odkaz není k dispozici) . Digitální zabezpečení eEye . Datum přístupu: 14.05.2022. Archivováno z originálu 5. prosince 2004. (neurčitý)
↑ Microsoft vidí červenou: Červ infikuje své vlastní servery (odkaz není k dispozici) . PC svět. Datum přístupu: 14.05.2022. Archivováno z originálu 27. dubna 2007. (neurčitý)

Hackerské útoky z roku 2000
Největší útoky	Operace Bot Roast Operace Rudý říjen Projekt "Chanology" titanový déšť
Skupiny a komunity hackerů	Anonymní Jednotka 61398 (PLA)
osamělí hackeři	Dmitrij Sklyarov
Zjištěna kritická zranitelnost	Tříštivý útok
Počítačové viry	Agent.BTZ Anna Kournikovová Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto červený kód Červený kód II Commwarrior Conficker Cutwail donbot Festi Fizzer MILUJI TĚ Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrátor Štípnout Poison Ivy RFID virus Rustock Slanost Santy Sasser střízlivý Tak velké SpyEye SQL Slammer Srizby Storm Worm Torpig Virut Vulcanbot Waledac Nulový přístup Zeus Zobot
90. léta • 21. století • 10. léta 20. století