Code Red

Iz Wikipedije, proste enciklopedije
Skoči na: navigacija, iskanje

Code Red je bil računalniški črv, ki se je prvič pojavil na internetu 13. julija, 2001. Napadal je računalnike, ki so poganjali Microsoftov spletni strežnik IIS.

Črva so najbolje raziskali v podjetju eEye Digital Security in ga tudi poimenovali po brezalkoholni pijači in frazi Hacked By Chinese!, s katero je črv zamenjal vsebino spletnih strani, ki jih je uničil.

Črv je bil sicer prvič zaznan 13. julija, največja okužba pa je sledila 19. julija 2001. Tega dne je bilo z različico virusa, imenovano Ida Code Red okuženih 359.000 spletnih strežnikov.[1]

Delovanje[uredi | uredi kodo]

Izkoriščanje ranljivosti sistema[uredi | uredi kodo]

Črv je preiskoval internet v iskanju Windows NT in 2000 strežnikov in iskal take, ki niso imeli nameščenega varnostnega popravka za preprečitev prekoračitve predpomnilnika (buffer overflow). Takoj, ko je črv našel tak strežnik se je nanj skopiral in ga okužil. Tako je tudi ta strežnik iskal nove žrtve v spletu.

Delovanje črva[uredi | uredi kodo]

Črv je po vdoru v sistem izvajal naslednje operacije:

  • zamenjal je vsebino spletnih strani na strežniku z vsebino:

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

  • po spletu je iskal druge IIS strežnike z varnostno luknjo
  • počakal je 20-27 dni, nato pa je aktiviral denial of service napade na določene statične IP-naslove, med katerimi je bil glavna tarča strežnik Bele Hiše.[1]

Med iskanjem ranljivih strežnikov pa črv ni pregledoval ali strežnik sploh uporablja ranljivo verzijo IIS. Apachejevi dnevniki dostopov iz tistega časa so namreč pogosto beležili Code Redove poskuse prekoračitve predpomnilnika, ki so se pokazali takole: [2]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Podobni črvi[uredi | uredi kodo]

4. avgusta 2001 se je pojavil črv Code Red II, ki je različica originalnega črva. Uporablja sicer enak način vdora v računalnik, le da za prekoračitev predpomnilnika uporablja črko 'X', vendar pa nato izvaja druge operacije. Pri iskanju tarč ta črv išče strežnike v isti podmreži.

eEye meni, da je bil črv sprogramiran v Makatiju na Filipinih, od koder izvira tudi črv VBS/Loveletter (znan tudi pod imenom ILOVEYOU).

Viri in opombe[uredi | uredi kodo]

  1. ^ 1,0 1,1 http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml Širjenje črva Code-Red (CRv2), pridobljeno 3. oktobra 2006
  2. ^ rušilna koda se skriva za zadnjo črko 'N'. Ogroženi gostitelj spletne strani je namreč interpretiral ta niz kot računalniški ukaz

Glej tudi[uredi | uredi kodo]

Zunanje povezave[uredi | uredi kodo]