Code Red

Code Red je bil računalniški črv, ki se je prvič pojavil na internetu 13. julija, 2001 in povzročil več milijard dolarjev škode. Napadal je računalnike, ki so poganjali Microsoftov spletni strežnik IIS.

Črva so najbolje raziskali v podjetju eEye Digital Security in ga tudi poimenovali po brezalkoholni pijači in frazi "Hacked By Chinese!", s katero je črv zamenjal vsebino spletnih strani, ki jih je uničil.

Črv je bil sicer prvič zaznan 13. julija, največja okužba pa je sledila 19. julija 2001. Tega dne je bilo z različico virusa, imenovano Ida Code Red okuženih 359.000 spletnih strežnikov.^[1]

Delovanje[uredi | uredi kodo]

Izkoriščanje ranljivosti sistema[uredi | uredi kodo]

Črv je preiskoval internet v iskanju Windows NT in 2000 strežnikov in iskal take, ki niso imeli nameščenega varnostnega popravka za preprečitev prekoračitve predpomnilnika (buffer overflow). Takoj, ko je črv našel tak strežnik se je nanj skopiral in ga okužil. Tako je tudi ta strežnik iskal nove žrtve v spletu.

Delovanje črva[uredi | uredi kodo]

Črv je po vdoru v sistem izvajal naslednje operacije:

zamenjal je vsebino spletnih strani na strežniku z vsebino:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
po spletu je iskal druge IIS strežnike z varnostno luknjo
počakal je 20-27 dni, nato pa je aktiviral "denial of service" napade na določene statične IP-naslove, med katerimi je bil glavna tarča strežnik Bele Hiše.^[1]

Med iskanjem ranljivih strežnikov pa črv ni pregledoval ali strežnik uporablja ranljivo verzijo IIS, pravzaprav sploh ni pregledoval, če strežnik uporalja katerokoli verzijo spletnega srežnika IIS. Apachejevi dnevniki dostopov iz tistega časa so namreč pogosto beležili Code Redove poskuse prekoračitve predpomnilnika, ki so se pokazali takole: ^[2]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Podobni črvi[uredi | uredi kodo]

Code Red II[uredi | uredi kodo]

4. avgusta 2001 se je pojavil črv Code Red II, ki je različica originalnega črva. Uporablja sicer enak način vdora v računalnik, kot črv Code Red, le da za prekoračitev predpomnilnika uporablja črko "X", namesto črke "N", vendar pa kasneje izvaja druge operacije. Pri iskanju tarč, ta črv išče strežnike v isti podmreži. Ta različica okuži tudi s trojanskim konjem z imenom VirtualRoot, ki lahko omogoči dostop in nadzor nad strežnikom.

Code Blue[uredi | uredi kodo]

Code Blue, uporablja "Web Server Folder Traversal" šibkost, da okuži druge naprave. Ta različica izbere naključni IP-naslov in pošlje FTP zahtevo na ciljno napravo. Zahteva povzroči, da se na ciljno napravo naloži datoteka HTTPEXT.DLL v mapo za IIS, s privilegiji za izvršitev nekaterih ukazov na strežniku (skripte, msadc, iisadmin, _vti_bin, iissamples, iishelp, webpub). Črv na okuženi napravi odpre datoteko DLL z zahtevo URL, ki povzroči da datoteka DLL zažene datoteko SVCHOST.EXE^[3] v C:\ (na trdi disk, na večini sistemov, niso v mapah). Po tem se črv Code Blue razlikuje od črva Code Red, ker je pisan direktno na trdi disk.

Črv ustvari "local machine registry key", s podmapo "Domain Manager" in doda možnost datoteki "c:\svchost.exe", da se črv sprosti, ko se naprava zažene. Črv zažene VBS datoteko, ki odstrani nekatere datoteke v IIS, s končnicami .IDA, .IDQ in .PRINTER.

Ko je ura med 10:00 in 11:00 dopoldne, črv izvede DoS napad na spletno stran: http://www.nsfocus.com/, Kitajske informacijsko-varnostne službe.

Code Green[uredi | uredi kodo]

Gre za tako imenovano "nematode Arhivirano 2016-03-10 na Wayback Machine." različico računalniškega črva, ali zlonamerni "anti-črv". Z drugimi besedami, gre za škodljiv računalniški črv, ki poskuša odstraniti že obstoječi črv in ga nadomestiti s svojo kodo.

Izvor[uredi | uredi kodo]

eEye meni, da je bil črv sprogramiran v Makatiju na Filipinih, od koder izvira tudi črv VBS/Loveletter (znan tudi pod imenom ILOVEYOU). Okužene spletne strani nakazujejo, da bi lahko prišel tudi iz Kitajske.

Nekateri strokovnjaki, so pri Wintermute, obtožili skupino 29A Arhivirano 2016-03-10 na Wayback Machine., da je ustvarila črv Code Red. Wintermute je ustvaril virus z imenom Redcode, ki so ga mnogi verjetno zamenjali za Code Red.

Znano je tudi, da ime črva izvira iz pijače "Mountain Dew: Code Red".

Zanimivosti[uredi | uredi kodo]

FBI je domneval, da je bil črv Code Red tako nevaren, da bi lahko v času delovanja, onemogočil dostop do svetovnega spleta.

Besedna zveza "Hacked by Chinese", ki izvira ravno iz črva Code Red, je sčasoma postala kliše, ki predstavlja spletni poraz.

Viri in opombe[uredi | uredi kodo]

↑ ^1,0 ^1,1 http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml Širjenje črva Code-Red (CRv2), pridobljeno 3. oktobra 2006
↑ rušilna koda se skriva za zadnjo črko 'N'. Ogroženi gostitelj spletne strani je namreč interpretiral ta niz kot računalniški ukaz
↑ Obstaja legitimna svchost.exe datoteka v Windows sistemski mapi, ga ne smemo zamenjati za Codeblue, saj je pomembena sistemska datoteka . Codeblue se nahaja na C:\ (samo na trdem disku in ne v mapah)

Glej tudi[uredi | uredi kodo]

Zunanje povezave[uredi | uredi kodo]

CERT nasveti CA-2001-19
eEye Code Red nasveti
Code Red II analiza
Skupina 29A Arhivirano 2016-03-10 na Wayback Machine.
"nematode Arhivirano 2016-03-10 na Wayback Machine."

[caida-1] 1,0 ^1,1 http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml Širjenje črva Code-Red (CRv2), pridobljeno 3. oktobra 2006

[2] rušilna koda se skriva za zadnjo črko 'N'. Ogroženi gostitelj spletne strani je namreč interpretiral ta niz kot računalniški ukaz

[3] Obstaja legitimna svchost.exe datoteka v Windows sistemski mapi, ga ne smemo zamenjati za Codeblue, saj je pomembena sistemska datoteka . Codeblue se nahaja na C:\ (samo na trdem disku in ne v mapah)

[1]

[2]

[3]