Cod roșu

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 8 aprilie 2020; verificările necesită 3 modificări .

cod roșu
Nume complet (Kaspersky)	Net-Worm.Win32.CodeRed.a
Tip de	vierme de rețea
Anul apariției	2001
Software utilizat	MS IIS
Descriere Symantec

Code Red  este un virus de computer care este un vierme de rețea multi-vector care a fost lansat în rețea pe 13 iulie 2001 . A atacat computerele care rulează serverul web Microsoft IIS , după o infecție cu succes , a lansat un atac DoS pe pagina web whitehouse.gov [1] [2] .

Descriere

Sunt cunoscute cel puțin două versiuni de bază ale viermelui de rețea Code Red . Primul a fost lansat vineri, 12 iulie 2001. Nu a folosit e-mailul pentru a răspândi sau infecta fișierele aplicației. Infectând un computer nou, viermele a creat 100 de clone ale sale, fiecare dintre acestea a început să caute noi ținte pentru a se răspândi prin vulnerabilități în serverul web IIS al Microsoft . După cum s-a dovedit, au existat mai multe erori grave în logica viermelui, care au provocat lansarea celei de-a doua versiuni a virusului. A apărut dimineața la ora 10:00 pe 19 iulie 2001 și până la ora 14:00 a reușit să infecteze aproximativ 359.000 de computere. Ea a ajuns pe primele pagini ale presei [3] .

O descriere și o analiză detaliată și operațională a viermelui a fost realizată de specialiștii eEye Digital Security . De asemenea, au dat virusului un nume - o referire la aspectul lui Mountain Dew și fraza de avertizare din virusul "Hacked By Chinese!" („Hacked de chinezi!”) este o aluzie la China comunistă , deși, în realitate, virusul a fost cel mai probabil scris de etnicii chinezi din Filipine . Cu această expresie, viermele a înlocuit conținutul site-urilor web de pe serverul infectat .

Viermele a folosit o vulnerabilitate într-un utilitar de indexare furnizat împreună cu serverul web Microsoft IIS . Această vulnerabilitate a fost descrisă de furnizorul  - Microsoft - pe site-ul lor MS01-033  (engleză) ; în plus, o actualizare corespunzătoare a fost lansată cu o lună înainte de epidemie .

Sarcina utilă a viermelui i-a permis să facă următoarele:

• Înlocuiți conținutul paginilor de pe site-ul afectat cu următoarea frază:

  SALUT! Bine ați venit la http://www.worm.com! Pirat de chinezi!

• Scanează și încearcă noi victime cu IIS, generând adrese IP în funcție de un algoritm specific
• La 20-27 de zile după infectare, începeți un atac DoS pe mai multe adrese IP, dintre care una a aparținut Casei Albe americane .

Vulnerabilitatea exploatată de vierme se bazează pe un buffer overflow . În timpul scanării, Code Red nu a verificat prezența IIS pe noul computer victimă, ci pur și simplu a trimis pachete de exploatare prin rețea către adresa IP generată, în speranța că o parte semnificativă a infecțiilor a fost trimisă într-un mod destul de ineficient. cale și-ar găsi victimele. Această metodă de scanare intensivă a dus la cantități uriașe de trafic nedorit , supraîncărcarea rețelelor și făcând prezența viermelui aproape evidentă pentru administratori. Dintr-un motiv cunoscut doar de creatorii virusului, acesta s-a răspândit activ doar de la 1 la 19 a fiecărei luni, intrând în hibernare pe mașinile infectate pentru restul timpului [4] .

Chiar și în jurnalele serverului Apache , la care, desigur, vulnerabilitatea IIS nu se aplica, se puteau găsi astfel de solicitări:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

În total, au fost identificate cel puțin șase versiuni ale codului original al viermilor [5] . Experții eEye susțin că viermele a început să se răspândească din orașul Makati din Filipine . Curând, pe 4 august 2001, a început să se răspândească un nou vierme Code Red II , al cărui cod, în ciuda numelui similar, a fost creat din nou.

Vezi și

• Cronologia virușilor și viermilor informatici

Note

1. ↑ Fisk, 2009 , p. 124.
2. ↑ Boulanger, Ghosh, 2010 , Cod Roșu, p. 58-59.
3. ↑ Boulanger, Ghosh, 2010 , Cod Roșu, p. 59-60.
4. ↑ Boulanger, Ghosh, 2010 , Cod Roșu, p. 59.
5. ↑ Boulanger, Ghosh, 2010 , Cod Roșu, p. 60.

Surse

• A. Boulanger, S. Ghosh. Cod rău intenționat // Crimele cibernetice: o analiză multidisciplinară / S. Ghosh, E. Turrini. - Springer, 2010. - 45-72 p. — ISBN 978-3-642-13547-7 . - doi : 10.1007/978-3-642-13547-7 .
• N. Fisk. Incidente de malware // Enciclopedia criminalității cibernetice / Samuel C. McQuade, III. - Londra : Greenwood Press, 2009. - P. 124. - ISBN 978-0-313-33974-5 .

Link -uri

• Descrierea viermelui pe site-ul web Viruslist.com al Kaspersky Lab
•  Analiza viermilor de către eEye

Atacurile hackerilor din anii 2000
Cele mai mari atacuri	Operațiunea Bot Roast Operațiunea Octombrie Roșu Proiectul „Chanologie” ploaie de titan
Grupuri și comunități de hackeri	Anonim Unitatea 61398 (PLA)
hackeri singuratici	Dmitri Sklyarov
Au detectat vulnerabilități critice	Atacul spart
Virușii informatici	Agent.BTZ Anna Kournikova Aprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto cod roșu Cod Roșu II Comwarrior Conficker Cutwail donbot Festi Fizzer TE IUBESC Klez Koobface Kraken Mariposa Mega D Metulji Mocmex soarta mea mytob Neshta netsky NetTraveler Nimda Penetrator Ciupiți Iedera otravitoare Virus RFID Rustock Salitatea Santy Sasser sobru Atât de mare SpyEye SQL Slammer Srizby Vierme de furtună Torpig Virut Vulcanbot Waledac Acces zero Zeus Zobot
anii 1990 • 2000 • 2010