Code Red
| Code Red | |
|---|---|
 | |
| Полное название (Касперский) | Net-Worm.Win32.CodeRed.a |
| Тип | Сетевой червь |
| Год появления | 2001 |
| Используемое ПО | MS IIS |
| Описание Symantec | |
Червь Code Red — компьютерный вирус, представляющий собой сетевой червь, выпущенный в сеть 19 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS.
Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании eEye Digital Security. Они также дали вирусу название — намёк на вид напитка Mountain Dew и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на коммунистический Китай, хотя в действительности вирус скорее всего был написан этническими китайцами на Филиппинах. Этой фразой червь заменял содержимое веб-сайтов на заражённом сервере.
Червь использовал уязвимость в утилите индексирования, которая поставлялась с веб-сервером Microsoft IIS. Эта уязвимость была описана вендором — Microsoft — на их сайте MS01-033 (англ.); кроме того, за месяц до эпидемии было выпущено соответствующее обновление.
Полезная нагрузка червя позволяла ему делать следующее:
- Заменять содержимое страниц на поражённом сайте на следующую фразу:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Сканировать и пробовать новые жертвы с IIS, генерируя IP-адреса по определённому алгоритму
- Спустя 20-27 дней после заражения начать DoS-атаку на несколько IP-адресов, один из которых принадлежал американскому Белому дому.
Уязвимость, используемая червем, основана на переполнении буфера. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал пакеты с эксплойтом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного трафика, перегружая сети и делая присутствие червя практически очевидным для администраторов.
Даже в логах сервера Apache, на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:
- GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNN
- %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
- %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
- %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Эксперты eEye утверждают, что червь начал распространение из Макати-Сити на Филиппинах. Вскоре, 4 августа 2001 года, начал распространяться новый червь Code Red II, код которого, несмотря на схожее название, был создан заново.
Затем в 2014 году начала распространение новая версия вируса Win32.Net-Worm.Codered.b которая подобно нашумевшему вирусу CIH уничтожает ресурсы персонального компьютера, но при заражении Windows9x.Virus.CIH можно восстановить данные с жесткого диска персонального компьютера, но если вы заразились Win32.Virus.CodeRed.b восстановить информацию с HDD персонального компьютера почти невозможно, поскольку вирус её переписывает на несколько раз. Создателя этой версии вируса так и не нашли. Дата действия этой версии вируса 12 апреля. В отличие от предыдущей версии написан на языке Pascal. Вес этого вируса 15 мегабайт, 3 мегабайта закачивается на пк и затем начинается докачка остальных 12 мегабайт. Сегодня наиболее распространен. Эта версия вируса скорее всего была создана для атаки на Пентагон, поскольку содержит скрытое послание "Enough to chew snot, Russia grabbed you.".