Cod Roșu II

Code Red II (cunoscut eronat și ca CRv3 sau Code Red 3.0 ) este un vierme de rețea care a apărut în dimineața zilei de sâmbătă , 4 august 2001 - ceva mai târziu decât virusul Code Red [1] .

Deși s-ar putea crede că acest vierme este o variantă a Codului Roșu, de fapt sunt doi viermi diferiți care se răspândesc folosind algoritmi diferiți și conțin sarcini utile diferite [2] .

Numele incorect al virusului

Code Red II este adesea denumit Code Red 3.0 sau CRv3 deoarece este adesea confundat cu o nouă versiune a Code Red, chiar dacă „primul” vierme avea doar două versiuni [2] .

Schema de lucru

Algoritmul pentru generarea adreselor IP și răspândirea Codului Roșu II vizează mai mult infectarea mașinilor din aceeași subrețea ca și mașina infectată, acest algoritm a fost bun pentru infectarea utilizatorilor cu modemuri de cablu . Deși este puțin probabil, este posibil ca un utilizator să primească ambii viermi Code Red [1] .

În 1 din 8 cazuri, viermele va genera o adresă IP aleatorie care nu se află în niciunul dintre intervalele de adrese IP locale, în jumătate din cazuri va rămâne în același interval de clasă A al adresei IP locale, iar în 3 cazuri. din 8 cazuri va rămâne în același interval de clasă B al adresei IP locale. Dacă adresa IP generată începe cu 127 sau 224 sau se potrivește cu adresa de sistem local, va fi generată o nouă adresă [2] .

Când infectează, viermele verifică și dacă limba locală a mașinii este chineza și dacă „atomul” „CodeRedII” este instalat pe ea: dacă da, virusul intră în somn, altfel virusul instalează atomul și își continuă activitatea. Se creează un troian explorer.exe prin care un atacator poate obține acces de la distanță la server [2] .

După funcționarea sa, viermele doarme timp de 1 zi (2 zile dacă limba de pe sistem este chineza), după care repornește Windows [2] .

Atât Code Red, cât și Code Red II exploatează aceeași vulnerabilitate în Internet Information Services . Microsoft a lansat un patch în care vulnerabilitatea a fost remediată la jumătatea lunii iunie a aceluiași an - cu o lună înainte de apariția ambilor viruși. La sfârșitul lunii iulie, după trezirea Code Red, a fost organizată o campanie pentru a încuraja utilizatorii să instaleze acest patch [3] .

Semnătura Cod Red II afișată în jurnalul serverului web:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b% u53ff %u0078%u0000%u00=a HTTP/1.0

Se deosebește de semnătura Cod Roșu prin faptul că caracterele „N” sunt înlocuite cu „X” [1] .

Vezi și

• Nimda - un vierme care folosea ușile din spate rămase după Code Red II

Note

1. ↑ 1 2 3 Analiza noii variante „Cod Roșu II” (link indisponibil) . Unixwiz.net. Data accesului: 14.05.2022. Arhivat din original pe 13 decembrie 2019. (nedefinit) 
2. ↑ 1 2 3 4 5 Soluții de gestionare a vulnerabilităților (link nu este disponibil) . eEye Digital Security . Data accesului: 14.05.2022. Arhivat din original pe 5 decembrie 2004. (nedefinit) 
3. ↑ Microsoft Sees Red: Worm Infects Its Own Servers (link nu este disponibil) . Lumea PC-urilor. Data accesului: 14.05.2022. Arhivat din original pe 27 aprilie 2007. (nedefinit)