Worm/Code Red
CodeRed je klasick²m Internetov²m wormem. Napadß Microsoft IIS Web Servery, kterΘ nemajφ aplikovßnu poslednφ zßplatu (patch). Äßdn²m zp∙sobem NENAPAD┴ u₧ivatelskΘ poΦφtaΦe a pracovnφ stanice, kterΘ neprovozujφ zmφn∞n² Web Server! Worm existuje pouze v pam∞ti poΦφtaΦe, nikdy nenφ ₧ßdn²m zp∙sobem ulo₧en do souboru na disku! Worm vyu₧φvß znßmou bezpeΦnostnφ dφru s p°eteΦenφm zßsobnφku v produktu Microsoft IIS Web Server. Microsoft o tomto problΘmu ji₧ delÜφ dobu vφ a v Φervnu 2001 zve°ejnil bezpeΦnostnφ zßplatu (http://www.microsoft.com/technet/security/bulletin/MS01-033.asp), kterß zmφn∞n² problΘm odstra≥uje.
CodeRed posφlß sebe sama jako po₧adavek HTTP, p°eteΦenφ zßsobnφku ale zp∙sobφ spuÜt∞nφ k≤du wormu na cφlovΘm poΦφtaΦi. Worm je spuÜt∞n p°φmo v pam∞ti a nenφ uklßdßn do ₧ßdnΘho souboru.
Pokud je systΘmovΘ datum nastaveno na den p°ed 20. dnem v m∞sφci, worm spustφ 99 nov²ch thrad∙, kterΘ se sna₧φ vyhledat dalÜφ vhodnΘ ob∞ti. Worm zkouÜφ nßhodn∞ vybranΘ IP adresy. Pokud na napadenΘm poΦφtaΦi existujφ anglickΘ webovΘ strßnky, worm je po dvou hodinßch zaΦne znep°φstup≥ovat tak, ₧e na p°φchozφ HTTP po₧adavky posφlß sv∙j vlastnφ k≤d HTMLs nßsledujφcφm textem:
Welcome to http:// www.worm.com !
Hacked By Chinese!
Pokud je systΘmovΘ datum nastaveno mezi 20. a 28. dnem v m∞sφci, worm se pokouÜφ provßd∞t DoS ·tok (Denial of Service) na specißlnφ IP adresu tak, ₧e posφlß velkΘ mno₧stvφ dat na port 80 (Web service). Jednß se o IP adresu 198.137.240.91, kterou a₧ do 20. Φervence pou₧φval Bφl² d∙m: www.whitehouse.gov. Tato IP adresa (kterß je p°φmo zapsßna v k≤du wormu) byla potΘ zm∞n∞na a v souΦasnosti nenφ aktivnφ.
Pokud je systΘmovΘ datum nastaveno na den po 28. dni v m∞sφci, worm se ulo₧φ do inaktivnφho stavu na obdobφ 24 dnφ a 20 hodin. Proto₧e tato perioda p°ekr²vß obdobφ, ve kterΘm se mno₧φ, worm se ji₧ nikdy mno₧it nebude. V²jimku mohou zp∙sobit poΦφtaΦe, kterΘ majφ chybn∞ nastaveno systΘmovΘ datum. Jedin² takov² poΦφtaΦ vÜak m∙₧e spustit novou vlnu infekce.
Odstran∞nφ:
CodeRedII (CodeRed.c)
V sobotu 4.8. 2001 se na Internetu objevila novß varianta wormu CodeRed. Tato varianta pou₧φvß pro svoje Üφ°enφ stejnou bezpeΦnostnφ dφru jako p∙vodnφ worm. Napadß poΦφtaΦe, na nich₧ je instalovßn Microsot IIS Web Server bez opravnΘ zßplaty (patch). Z infikovanΘho poΦφtaΦe se posφlß intenzivn∞ji ale po kratÜφ dobu. Nov² worm je nebezpeΦn² zejmΘna tφm, ₧e do napadenΘho poΦφtaΦe instaluje jin² program: trojskΘho kon∞, kter² pak m∙₧e fungovat jako zadnφ vrßtka a m∙₧e umo₧nit neautorizovan² vstup do napadenΘho systΘmu. O p∙lnoci dne 1. °φjna se worm nav₧dy deaktivuje. Worm na rozdφl od p∙vodnφ varianty nepodstrkßvß u₧ivatel∙m modifikovanΘ WWW strßnky, neprovßdφ distribuovan² ·tok na jedin² poΦφtaΦ (Bφl² d∙m), jeho jedin²m cφlem je dostateΦn∞ rozÜφ°it poΦet poΦφtaΦ∙ se zadnφmi vrßtky do systΘmu. Pokud se mu poda°φ napadnout podobn² poΦet poΦφtaΦ∙ jako p∙vodnφmu wormu (kolem 300 000), pak m∙₧e b²t vß₧n∞ ohro₧ena integrita Internetu: tak velk² poΦet server∙, nad nimi₧ m∙₧e mφt kontrolu t°etφ strana, znamenß obrovskΘ bezpeΦnostnφ riziko. Sprßvci takov²ch systΘm∙ navφc nemohou mφt jistotu, zda jim pomocφ t∞chto zadnφch vrßtek n∞kdo nep°idal do systΘmu n∞co dalÜφho. A tak zatφmco proti p∙vodnφmu wormu staΦilo uplatnit p°φsluÜnou zßplatu a server p°estartovat, v tomto p°φpad∞ je nejspolehliv∞jÜφ metodou p°eformßtovßnφ disku a novß kompletnφ instalace systΘmu.
Zdroj: Alwil software - v²robce antiviru AVAST
