Code Red

Code Red je v informatice název počítačového červa (tj. malware, škodlivého programu), který byl na Internetu poprvé zpozorován 15. července 2001. Zaútočil na počítače, na kterých běžel webový server IIS od firmy Microsoft.

Charakteristika

Červ Code Red byl poprvé objeven a prozkoumán zaměstnanci firmy eEye Digital Security Marcem Maiffretem a Ryanem Permehem. Pojmenovali ho „Code Red“ podle příchuti nápoje Mountain Dew, kterou zrovna pili.^[1]

Ačkoliv byl červ vypuštěn 13. července, nejvíce byl rozšířen 19. července, kdy počet napadených počítačů dosáhl hranice 359 tisíc.^[2]

Princip červa

Zneužitá slabina

Červ poukázal na slabinu v tehdy oblíbeném softwaru distribuovaném s IIS popsanou v Microsoft Security Bulletin MS01-033,^[3] která byla o měsíc dříve opravena aktualizací.

Červ se šířil pomocí známého typu slabiny zvaného přetečení bufferu. Zahltil buffer dlouhým řetězcem opakovaných znaků 'N', díky čemuž červ mohl spustit libovolný kód a infikovat počítač. Kenneth D. Eichman byl první člověk, který přišel na to, jak červa zablokovat, a za tento objev byl pozván na návštěvu do Bílého domu.^[4]

Červův náklad

Červův náklad obsahoval:

změnu textu zasažené webové stránky na následující:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

jiné úkoly závislé na datu:^[5]
- 1-19. den v měsíci: Hledat na Internetu další IIS servery a pokusit se rozšířit.
- 20–27. den v měsíci: Zahájit denial of service útoky na několik daných IP adres, mezi kterými byla adresa Bílého domu.^[2]
- 28-31. den v měsíci: Žádné útočné aktivity.

Při hledání zranitelných počítačů červ netestoval, zda vzdálený server běžel na zranitelné verzi IIS ani zda vůbec běžel na IIS. V přístupových logách serverů běžících na Apache z té doby se často vyskytují záznamy podobné následujícímu:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

Červův náklad je řetězec za posledním znakem 'N'. Kvůli přetečení bufferu ho zranitelný hostitel přeloží jako počítačové instrukce, čímž červa rozmnoží.

Podobní červi

4. srpna 2001 se objevil červ Code Red II, varianta původního červa Code Red. Ačkoliv napadá počítače stejným způsobem, jeho náklad je zcela odlišný. Své cíle si vybírá pseudonáhodně a rozhoduje se mezi cíli na stejné podsíti, jako je nakažený počítač a cíli na jiných podsítích, s tím, že rozdělení pravděpodobnosti se přiklání k cílům na stejné podsíti. Dalším rozdílem od původního Code Red je, že k přetížení bufferu používá řetězec znaků 'X' místo řetězce znaků 'N'.

Společnost eEye se domnívala, že Code Red II vznikl ve městě Makati na Filipínách, stejně jako červ VBS/Loveletter, známý jako "ILOVEYOU".

Odkazy

Reference

V tomto článku byl použit překlad textu z článku Code Red (computer worm) na anglické Wikipedii.

↑ ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011) [online]. eEye Digital Security, 2001-07-17. Dostupné v archivu pořízeném z originálu.
↑ ^a ^b MOORE, David; SHANNON, Colleen. The Spread of the Code-Red Worm (CRv2) [online]. CAIDA, [2001] [cit. 2006-10-03]. Dostupné online.
↑ MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" [online]. Microsoft Corporation, 2001-06-18. Dostupné online.
↑ LEMOS, Rob. Virulent worm calls into doubt our ability to protect the Net [online]. CNET News [cit. 2011-03-14]. Dostupné online.
↑ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL [online]. CERT, 2001-07-17 [cit. 2010-06-29]. Dostupné online.