Code Red

Code Red je v informatice název počítačového červa (tj. malware, škodlivého programu), který byl na Internetu poprvé zpozorován 15. července 2001. Zaútočil na počítače, na kterých běžel webový server IIS od firmy Microsoft.

Charakteristika[editovat | editovat zdroj]

Červ Code Red byl poprvé objeven a prozkoumán zaměstnanci firmy eEye Digital Security Marcem Maiffretem a Ryanem Permehem. Pojmenovali ho „Code Red“ podle příchuti nápoje Mountain Dew, kterou zrovna pili.^[1]

Ačkoliv byl červ vypuštěn 13. července, nejvíce byl rozšířen 19. července, kdy počet napadených počítačů dosáhl hranice 359 tisíc.^[2]

Princip červa[editovat | editovat zdroj]

Zneužitá slabina[editovat | editovat zdroj]

Červ poukázal na slabinu v tehdy oblíbeném softwaru distribuovaném s IIS popsanou v Microsoft Security Bulletin MS01-033,^[3] která byla o měsíc dříve opravena aktualizací.

Červ se šířil pomocí známého typu slabiny zvaného přetečení bufferu. Zahltil buffer dlouhým řetězcem opakovaných znaků 'N', díky čemuž červ mohl spustit libovolný kód a infikovat počítač. Kenneth D. Eichman byl první člověk, který přišel na to, jak červa zablokovat, a za tento objev byl pozván na návštěvu do Bílého domu.^[4]

Červův náklad[editovat | editovat zdroj]

Červův náklad obsahoval:

změnu textu zasažené webové stránky na následující:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

jiné úkoly závislé na datu:^[5]
- 1-19. den v měsíci: Hledat na Internetu další IIS servery a pokusit se rozšířit.
- 20–27. den v měsíci: Zahájit denial of service útoky na několik daných IP adres, mezi kterými byla adresa Bílého domu.^[2]
- 28-31. den v měsíci: Žádné útočné aktivity.

Při hledání zranitelných počítačů červ netestoval, zda vzdálený server běžel na zranitelné verzi IIS ani zda vůbec běžel na IIS. V přístupových logách serverů běžících na Apache z té doby se často vyskytují záznamy podobné následujícímu:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Červův náklad je řetězec za posledním znakem 'N'. Kvůli přetečení bufferu ho zranitelný hostitel přeloží jako počítačové instrukce, čímž červa rozmnoží.

Podobní červi[editovat | editovat zdroj]

4. srpna 2001 se objevil červ Code Red II, varianta původního červa Code Red. Ačkoliv napadá počítače stejným způsobem, jeho náklad je zcela odlišný. Své cíle si vybírá pseudonáhodně a rozhoduje se mezi cíli na stejné podsíti, jako je nakažený počítač a cíli na jiných podsítích, s tím, že rozdělení pravděpodobnosti se přiklání k cílům na stejné podsíti. Dalším rozdílem od původního Code Red je, že k přetížení bufferu používá řetězec znaků 'X' místo řetězce znaků 'N'.

Společnost eEye se domnívala, že Code Red II vznikl ve městě Makati na Filipínách, stejně jako červ VBS/Loveletter, známý jako "ILOVEYOU".

Odkazy[editovat | editovat zdroj]

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Code Red (computer worm) na anglické Wikipedii.

↑ ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011) [online]. eEye Digital Security, 2001-07-17. Dostupné v archivu pořízeném z originálu.
↑ ^a ^b MOORE, David; SHANNON, Colleen. The Spread of the Code-Red Worm (CRv2) [online]. CAIDA, [2001] [cit. 2006-10-03]. Dostupné online.
↑ MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" [online]. Microsoft Corporation, 2001-06-18. Dostupné online.
↑ LEMOS, Rob. Virulent worm calls into doubt our ability to protect the Net [online]. CNET News [cit. 2011-03-14]. Dostupné online.
↑ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL [online]. CERT, 2001-07-17 [cit. 2010-06-29]. Dostupné online.

Související články[editovat | editovat zdroj]

červ Nimda

Externí odkazy[editovat | editovat zdroj]

Analýza Code Red II, Steve Friedl's Unixwiz.net, poslední aktualizace 22. srpna 2001
Analýza Code-Red od CAIDA, Cooperative Association for Internet Data Analysis (CAIDA) ze San Diego Supercomputer Center (SDSC), aktualizováno v listopadu 2008
Animace znázorňující šířeni červu Code Red 19. července 2001, od Jeffa Browna, UCSD a Davida Mooreho, CAIDA v SDSC

[1] ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011) [online]. eEye Digital Security, 2001-07-17. Dostupné v archivu pořízeném z originálu.

[caida-2] MOORE, David; SHANNON, Colleen. The Spread of the Code-Red Worm (CRv2) [online]. CAIDA, [2001] [cit. 2006-10-03]. Dostupné online.

[3] MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" [online]. Microsoft Corporation, 2001-06-18. Dostupné online.

[4] LEMOS, Rob. Virulent worm calls into doubt our ability to protect the Net [online]. CNET News [cit. 2011-03-14]. Dostupné online.

[5] CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL [online]. CERT, 2001-07-17 [cit. 2010-06-29]. Dostupné online.

[1]

[2]

[3]

[4]

[5]