Code Red
Code Red je v informatice název počítačového červa (tj. malware, škodlivého programu), který byl na Internetu poprvé zpozorován 15. července 2001. Zaútočil na počítače, na kterých běžel webový server IIS od firmy Microsoft.
Charakteristika
[editovat | editovat zdroj]Červ Code Red byl poprvé objeven a prozkoumán zaměstnanci firmy eEye Digital Security Marcem Maiffretem a Ryanem Permehem. Pojmenovali ho „Code Red“ podle příchuti nápoje Mountain Dew, kterou zrovna pili.[1]
Ačkoliv byl červ vypuštěn 13. července, nejvíce byl rozšířen 19. července, kdy počet napadených počítačů dosáhl hranice 359 tisíc.[2]
Princip červa
[editovat | editovat zdroj]Zneužitá slabina
[editovat | editovat zdroj]Červ poukázal na slabinu v tehdy oblíbeném softwaru distribuovaném s IIS popsanou v Microsoft Security Bulletin MS01-033,[3] která byla o měsíc dříve opravena aktualizací.
Červ se šířil pomocí známého typu slabiny zvaného přetečení bufferu. Zahltil buffer dlouhým řetězcem opakovaných znaků 'N', díky čemuž červ mohl spustit libovolný kód a infikovat počítač. Kenneth D. Eichman byl první člověk, který přišel na to, jak červa zablokovat, a za tento objev byl pozván na návštěvu do Bílého domu.[4]
Červův náklad
[editovat | editovat zdroj]Červův náklad obsahoval:
- změnu textu zasažené webové stránky na následující:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- jiné úkoly závislé na datu:[5]
- 1-19. den v měsíci: Hledat na Internetu další IIS servery a pokusit se rozšířit.
- 20–27. den v měsíci: Zahájit denial of service útoky na několik daných IP adres, mezi kterými byla adresa Bílého domu.[2]
- 28-31. den v měsíci: Žádné útočné aktivity.
Při hledání zranitelných počítačů červ netestoval, zda vzdálený server běžel na zranitelné verzi IIS ani zda vůbec běžel na IIS. V přístupových logách serverů běžících na Apache z té doby se často vyskytují záznamy podobné následujícímu:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Červův náklad je řetězec za posledním znakem 'N'. Kvůli přetečení bufferu ho zranitelný hostitel přeloží jako počítačové instrukce, čímž červa rozmnoží.
Podobní červi
[editovat | editovat zdroj]4. srpna 2001 se objevil červ Code Red II, varianta původního červa Code Red. Ačkoliv napadá počítače stejným způsobem, jeho náklad je zcela odlišný. Své cíle si vybírá pseudonáhodně a rozhoduje se mezi cíli na stejné podsíti, jako je nakažený počítač a cíli na jiných podsítích, s tím, že rozdělení pravděpodobnosti se přiklání k cílům na stejné podsíti. Dalším rozdílem od původního Code Red je, že k přetížení bufferu používá řetězec znaků 'X' místo řetězce znaků 'N'.
Společnost eEye se domnívala, že Code Red II vznikl ve městě Makati na Filipínách, stejně jako červ VBS/Loveletter, známý jako "ILOVEYOU".
Odkazy
[editovat | editovat zdroj]Reference
[editovat | editovat zdroj]V tomto článku byl použit překlad textu z článku Code Red (computer worm) na anglické Wikipedii.
- ↑ ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011) [online]. eEye Digital Security, 2001-07-17. Dostupné v archivu pořízeném z originálu.
- ↑ a b MOORE, David; SHANNON, Colleen. The Spread of the Code-Red Worm (CRv2) [online]. CAIDA, [2001] [cit. 2006-10-03]. Dostupné online.
- ↑ MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" [online]. Microsoft Corporation, 2001-06-18. Dostupné online.
- ↑ LEMOS, Rob. Virulent worm calls into doubt our ability to protect the Net [online]. CNET News [cit. 2011-03-14]. Dostupné online.
- ↑ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL [online]. CERT, 2001-07-17 [cit. 2010-06-29]. Dostupné online.
Související články
[editovat | editovat zdroj]- červ Nimda
Externí odkazy
[editovat | editovat zdroj]- Analýza Code Red II, Steve Friedl's Unixwiz.net, poslední aktualizace 22. srpna 2001
- Analýza Code-Red od CAIDA, Cooperative Association for Internet Data Analysis (CAIDA) ze San Diego Supercomputer Center (SDSC), aktualizováno v listopadu 2008
- Animace znázorňující šířeni červu Code Red 19. července 2001, od Jeffa Browna, UCSD a Davida Mooreho, CAIDA v SDSC