Přeskočit na obsah

Code Red

Z Wikipedie, otevřené encyklopedie
Možná hledáte: Code Red (hudební skupina).

Code Red je v informatice název počítačového červa (tj. malware, škodlivého programu), který byl na Internetu poprvé zpozorován 15. července 2001. Zaútočil na počítače, na kterých běžel webový server IIS od firmy Microsoft.

Charakteristika

[editovat | editovat zdroj]

Červ Code Red byl poprvé objeven a prozkoumán zaměstnanci firmy eEye Digital Security Marcem Maiffretem a Ryanem Permehem. Pojmenovali ho „Code Red“ podle příchuti nápoje Mountain Dew, kterou zrovna pili.[1]

Ačkoliv byl červ vypuštěn 13. července, nejvíce byl rozšířen 19. července, kdy počet napadených počítačů dosáhl hranice 359 tisíc.[2]

Princip červa

[editovat | editovat zdroj]

Zneužitá slabina

[editovat | editovat zdroj]

Červ poukázal na slabinu v tehdy oblíbeném softwaru distribuovaném s IIS popsanou v Microsoft Security Bulletin MS01-033,[3] která byla o měsíc dříve opravena aktualizací.

Červ se šířil pomocí známého typu slabiny zvaného přetečení bufferu. Zahltil buffer dlouhým řetězcem opakovaných znaků 'N', díky čemuž červ mohl spustit libovolný kód a infikovat počítač. Kenneth D. Eichman byl první člověk, který přišel na to, jak červa zablokovat, a za tento objev byl pozván na návštěvu do Bílého domu.[4]

Červův náklad

[editovat | editovat zdroj]

Červův náklad obsahoval:

  • změnu textu zasažené webové stránky na následující:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • jiné úkoly závislé na datu:[5]
    • 1-19. den v měsíci: Hledat na Internetu další IIS servery a pokusit se rozšířit.
    • 20–27. den v měsíci: Zahájit denial of service útoky na několik daných IP adres, mezi kterými byla adresa Bílého domu.[2]
    • 28-31. den v měsíci: Žádné útočné aktivity.

Při hledání zranitelných počítačů červ netestoval, zda vzdálený server běžel na zranitelné verzi IIS ani zda vůbec běžel na IIS. V přístupových logách serverů běžících na Apache z té doby se často vyskytují záznamy podobné následujícímu:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Červův náklad je řetězec za posledním znakem 'N'. Kvůli přetečení bufferu ho zranitelný hostitel přeloží jako počítačové instrukce, čímž červa rozmnoží.

Podobní červi

[editovat | editovat zdroj]

4. srpna 2001 se objevil červ Code Red II, varianta původního červa Code Red. Ačkoliv napadá počítače stejným způsobem, jeho náklad je zcela odlišný. Své cíle si vybírá pseudonáhodně a rozhoduje se mezi cíli na stejné podsíti, jako je nakažený počítač a cíli na jiných podsítích, s tím, že rozdělení pravděpodobnosti se přiklání k cílům na stejné podsíti. Dalším rozdílem od původního Code Red je, že k přetížení bufferu používá řetězec znaků 'X' místo řetězce znaků 'N'.

Společnost eEye se domnívala, že Code Red II vznikl ve městě Makati na Filipínách, stejně jako červ VBS/Loveletter, známý jako "ILOVEYOU".

V tomto článku byl použit překlad textu z článku Code Red (computer worm) na anglické Wikipedii.

  1. ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011) [online]. eEye Digital Security, 2001-07-17. Dostupné v archivu pořízeném z originálu. 
  2. a b MOORE, David; SHANNON, Colleen. The Spread of the Code-Red Worm (CRv2) [online]. CAIDA, [2001] [cit. 2006-10-03]. Dostupné online. 
  3. MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" [online]. Microsoft Corporation, 2001-06-18. Dostupné online. 
  4. LEMOS, Rob. Virulent worm calls into doubt our ability to protect the Net [online]. CNET News [cit. 2011-03-14]. Dostupné online. 
  5. CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL [online]. CERT, 2001-07-17 [cit. 2010-06-29]. Dostupné online. 

Související články

[editovat | editovat zdroj]

Externí odkazy

[editovat | editovat zdroj]