Kod röd

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 8 april 2020; kontroller kräver 3 redigeringar .
kod röd
Fullständigt namn (Kaspersky) Net-Worm.Win32.CodeRed.a
Sorts nätverksmask
År av utseende 2001
Programvara som används MS IIS
Symantec Beskrivning

Code Red  är ett datavirus som är en nätverksmask med flera vektorer som släpptes till nätverket den 13 juli 2001 . Den attackerade datorer som körde Microsoft IIS -webbservern , efter en lyckad infektion , startade en DoS-attack på webbsidan whitehouse.gov [1] [2] .

Beskrivning

Minst två grundläggande versioner av Code Red nätverksmasken är kända . Den första lanserades fredagen den 12 juli 2001. Den använde inte e-post för att sprida eller infektera programfiler. Genom att infektera en ny dator skapade masken 100 kloner av sig själv, som var och en började leta efter nya mål för att spridas genom sårbarheter i Microsofts IIS - webbserver . Som det visade sig fanns det flera allvarliga fel i maskens logik, vilket orsakade lanseringen av den andra versionen av viruset. Den dök upp på morgonen klockan 10:00 den 19 juli 2001 och vid 14:00 lyckades den infektera cirka 359 000 datorer. Det var hon som slog upp medias förstasidor [3] .

En detaljerad och operativ beskrivning och analys av masken gjordes av eEye Digital Security- specialister . De gav också viruset ett namn - en referens till utseendet på Mountain Dew och varningsfrasen i viruset "Hacked By Chinese!" ("Hackad av kineserna!") är en anspelning på det kommunistiska Kina , även om viruset i verkligheten med största sannolikhet skrevs av etniska kineser i Filippinerna . Med den här frasen ersatte masken innehållet på webbplatser på den infekterade servern .

Masken använde en sårbarhet i ett indexeringsverktyg som följde med Microsoft IIS -webbservern . Denna sårbarhet beskrevs av leverantören  - Microsoft - på deras webbplats MS01-033 (engelska) ; dessutom släpptes en motsvarande uppdatering en månad före epidemin .  

Maskens nyttolast tillät den att göra följande:

Sårbarheten som utnyttjas av masken är baserad på ett buffertspill . Under skanningen kontrollerade Code Red inte förekomsten av IIS på den nya offerdatorn, utan skickade helt enkelt exploateringspaket över nätverket till den genererade IP-adressen, i hopp om att en betydande del av infektionerna skickade in en sådan ganska ineffektiv sätt att hitta sina offer. Denna intensiva skanningsmetod resulterade i enorma mängder skräptrafik , överbelastade nätverk och gjorde maskens närvaro nästan uppenbar för administratörer. Av en anledning som bara är känd för skaparna av viruset spreds det aktivt endast från den 1:a till den 19:e varje månad, och gick i viloläge på infekterade maskiner under resten av tiden [4] .

Till och med i loggarna för Apache -servern , där IIS-sårbarheten naturligtvis inte gällde, kunde man hitta sådana förfrågningar:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Totalt har minst sex versioner av den ursprungliga maskkoden identifierats [5] . Eye-experter hävdar att masken började spridas från Makati City i Filippinerna . Snart, den 4 augusti 2001, började en ny mask Code Red II spridas , vars kod, trots det liknande namnet, skapades på nytt.

Se även

Anteckningar

  1. Fisk, 2009 , sid. 124.
  2. Boulanger, Ghosh, 2010 , Code Red, sid. 58-59.
  3. Boulanger, Ghosh, 2010 , Code Red, sid. 59-60.
  4. Boulanger, Ghosh, 2010 , Code Red, sid. 59.
  5. Boulanger, Ghosh, 2010 , Code Red, sid. 60.

Källor

Länkar