Vörös kód

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. április 8-án felülvizsgált verziótól ; az ellenőrzések 3 szerkesztést igényelnek .
vörös kód
Teljes név (Kaspersky) Net-Worm.Win32.CodeRed.a
Típusú hálózati féreg
Megjelenés éve 2001
Használt szoftver MS IIS
Symantec leírás

A Code Red  egy számítógépes vírus , amely egy többvektoros hálózati féreg , amely 2001. július 13-án került a hálózatra . Megtámadta a Microsoft IIS webszervert futtató számítógépeket , sikeres fertőzés után DoS támadást indított a whitehouse.gov weboldalon [1] [2] .

Leírás

A Code Red hálózati féregnek legalább két alapverziója ismert . Az elsőt 2001. július 12-én, pénteken indították el. Nem használt e-mailt az alkalmazásfájlok terjesztésére vagy megfertőzésére. Egy új számítógép megfertőzésével a féreg 100 klónt hozott létre önmagából, amelyek mindegyike új célpontokat kezdett keresni, hogy a Microsoft IIS webszerverének sebezhetőségein keresztül terjedjen . Mint kiderült, a féreg logikájában több súlyos hiba is történt, ami a vírus második verziójának elindítását okozta. 2001. július 19-én délelőtt 10:00-kor jelent meg, és 14:00 óráig megközelítőleg 359 000 számítógépet sikerült megfertőznie. Ő volt az, aki a média címlapjára került [3] .

A féreg részletes és működési leírását és elemzését az eEye Digital Security szakemberei készítették el . Nevet is adtak a vírusnak – utalva a Mountain Dew kinézetére és a vírusban található figyelmeztető mondatra: „Kínai feltörték!” ("Hackelték a kínaiak!") egy utalás a kommunista Kínára , bár a valóságban a vírust nagy valószínűséggel a Fülöp -szigeteken élő kínaiak írták . Ezzel a kifejezéssel a féreg lecserélte a fertőzött szerveren lévő webhelyek tartalmát .

A féreg a Microsoft IIS webszerverhez mellékelt indexelő segédprogram biztonsági rését használta fel . Ezt a sérülékenységet a gyártó  – a Microsoft – ismertette az MS01-033 (angol nyelvű) webhelyén ; ráadásul egy hónappal a járvány előtt megjelent egy megfelelő frissítés is .  

A féreg hasznos terhelése lehetővé tette a következőket:

A féreg által kihasznált biztonsági rés puffertúlcsorduláson alapul . Az ellenőrzés során a Code Red nem ellenőrizte az IIS jelenlétét az új áldozatszámítógépen, hanem egyszerűen exploit csomagokat küldött a hálózaton keresztül a generált IP-címre, abban a reményben, hogy a fertőzések jelentős része ilyen meglehetősen nem hatékony. módja annak, hogy megtalálják áldozataikat. Ez az intenzív vizsgálati módszer hatalmas mennyiségű levélszemét forgalmat eredményezett , túlterhelte a hálózatokat, és szinte nyilvánvalóvá tette a féreg jelenlétét a rendszergazdák számára. A vírus csak a megalkotói által ismert okból csak minden hónap 1. és 19. között terjedt aktívan, a fertőzött gépeken a fennmaradó időben hibernált állapotba került [4] .

Még az Apache szerver naplóiban is , amelyre természetesen az IIS biztonsági rése nem vonatkozott, ilyen kéréseket lehetett találni:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Összességében az eredeti féregkód legalább hat változatát azonosították [5] . Az eEye szakértői azt állítják, hogy a féreg a Fülöp -szigeteki Makati városból kezdett terjedni . Hamarosan, 2001. augusztus 4-én egy új Code Red II féreg kezdett elterjedni , melynek kódja a hasonló név ellenére újonnan készült.

Lásd még

Jegyzetek

  1. Fisk, 2009 , p. 124.
  2. Boulanger, Ghosh, 2010 , Code Red, p. 58-59.
  3. Boulanger, Ghosh, 2010 , Code Red, p. 59-60.
  4. Boulanger, Ghosh, 2010 , Code Red, p. 59.
  5. Boulanger, Ghosh, 2010 , Code Red, p. 60.

Források

Linkek