Vogel Publishing, design by 
ET NETERAČervenec - září 2001
Červ I-Worm/Sircam.A je dalším významným přírůstkem a podle služby MessageLabs je v dnešních dnech jednoznačně nejrozšířenější. Objevil se v polovině července. Narozdíl od populárního červa I_Love_You (VBS/Loveletter.A) "žije" Sircam.A aktivně již několik týdnů (VBS/Loveletter.A se dokázal významně šířit jen v několika prvních dnech od objevení). I-Worm/Sircam.A se šíří prostřednictvím elektronické pošty jako soubor v příloze. Infikovanou zprávu lze poznat podle textu, který začíná otázkou "Hi ! How are you ?". Soubor v příloze neobsahuje pouze tělo červa, ale i původní obsah odcizeného souboru který si červ vybral. Nejčastěji jde o dokumenty Wordu (přípona .DOC). Při troše smůle (nebo štěstí ? jak pro koho...) k Vám tak mohou dorazit třeba tajná hesla a číselné kombinace trezorů v bance :) Původní název souboru je zachován (jeho název je zároveň subjektem zprávy), červ si pouze připojí další příponu pif, lnk, bat, com (infikovaný soubor má tak dvě přípony, třeba "ahoj.doc.pif"). Další cestou šíření mohou být nevhodně zvolená sdílení adresářů v LAN. I-Worm/Sircam.A obsahuje několik škodlivých rutin. 16.října může vymazat všechny soubory na disku C:, popřípadě v adresáři C:\RECYCLED vytvoří soubor sircam.sys, do kterého zapisuje text
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
popřípadě
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
tak dlouho, až dojde k vyčerpání volného místa na disku.
Zatímco I-Worm/Sircam.A ohrožuje naprosto všechny uživatele Internetu, červ Code Red se týká převážně serverů. Řada novinářů si však původní pravdivé informace od antivirových firem upravili tak, aby jim sami rozuměli. Výsledkem byly nepravdivé informace, které způsobily paniku i u řady uživatelů obyčejných PC, připojených do Internetu pomoci modemu. Ty mohou být ve skutečnosti, v naprosté většině v klidu. Obávat se musí především správci serverů, na kterých běží Microsoft IIS Web Server (ten běží pod Windows NT/2000). Červ Code Red totiž napadá POUZE A JEN počítače/servery s nainstalovaným Microsoft IIS Web Serverem, který není opatřen příslušnou záplatou. Po přibližně 13 letech (tehdy do byl tzv. "Morrisův červ") tu máme dalšího skutečného Internetového červa (červi šířící se poštou lze považovat pouze za "červi v uvozovkách") !!!
CodeRed posílá sebe sama jako požadavek HTTP, ale přetečení zásobníku způsobí spuštění kódu červa na cílovém počítači. Červ se spouští přímo v paměti infikovaného počítače, neukládá se do žádného souboru. Mezi 1. až 19. dnem v měsíci se červ pokouší vyhledávat další oběti (HTTP...) na náhodně vybraných IP adresách. Pokud na serveru existují web-stránky, Code Red je po dvou hodinách znepřístupní a místo nich posílá přistupujícím uživatelům vlastní HTML stránku s textem "Welcome to http:// www.worm.com ! Hacked By Chinese!"
Pokud je datum mezi 20. a 28. dnem v měsíci, červ se pokouší provádět DoS útok (Denial of Service) na IP adresu Bílého domu, tj. zahltit server obrovským množstvím dat a tak ho vyřadit z provozu. IP adresa Bílého domu byla již změněna, proto jsou útoky červa na pevně danou adresu neúčinné.
Později se objevila i další varianta, která se z infikovaného počítače posílá intenzivněji, ale po kratší dobu. Červ také vypouští do infikovaného PC trojského koně, který může sloužit jako zadní vrátka (backdoor) pro neoprávněný vstup do systému.
V průběhu záři se objevil další plnohodnotný červ: Code Blue.
Podobně jako Code Red využívá i tento červ „díru“ v aplikaci Microsoft Internet
Information Server (IIS). Pokud není tato díra ošetřena příslušnou záplatou (patch),
má červ zelenou. V takovém případě počítač infikuje a snaží se najít v Internetu
další servery bez záplaty. Vzhledem k tomu, že BlueCode využívá pro své šíření
daleko starší díru (Web Directory Traversal vulnerability) než Code Red, zdaleka
neslaví takový úspěch, jako jeho červený bratr. Záplata je k dispozici na Internetu
již delší dobu (od konce minulého roku).
Mezi 10:00 a 11:00 se červ BlueCode snaží „bombardovat“ web-server www.nsfocus.com
a tak ho vyřadit z provozu.
Připravil Igor Hák - igi@viry.cz - www.viry.cz
© 2001 Vogel Publishing, design by ET NETERA