Code Red
Author
Albert FloresCode Red je v informatice název počítačového červa (tj. malware, škodlivého programu), který byl na Internetu poprvé zpozorován 15. července 2001. Zaútočil na počítače, na kterých běžel webový server IIS od firmy Microsoft.
Charakteristika
Červ Code Red byl poprvé objeven a prozkoumán zaměstnanci firmy eEye Digital Security Marcem Maiffretem a Ryanem Permehem. Pojmenovali ho „Code Red“ podle příchuti nápoje Mountain Dew, kterou zrovna pili.
Ačkoliv byl červ vypuštěn 13. července, nejvíce byl rozšířen 19. července, kdy počet napadených počítačů dosáhl hranice 359 tisíc.
Princip červa
Zneužitá slabina
Červ poukázal na slabinu v tehdy oblíbeném softwaru distribuovaném s IIS popsanou v Microsoft Security Bulletin MS01-033, která byla o měsíc dříve opravena aktualizací.
Červ se šířil pomocí známého typu slabiny zvaného přetečení bufferu. Zahltil buffer dlouhým řetězcem opakovaných znaků 'N', díky čemuž červ mohl spustit libovolný kód a infikovat počítač. +more Kenneth D. Eichman byl první člověk, který přišel na to, jak červa zablokovat, a za tento objev byl pozván na návštěvu do Bílého domu.
Červův náklad
Červův náklad obsahoval:
* změnu textu zasažené webové stránky na následující:
HELLO! Welcome to
! Hacked By Chinese!
* jiné úkoly závislé na datu: ** 1-19. den v měsíci: Hledat na Internetu další IIS servery a pokusit se rozšířit. +more ** 20-27. den v měsíci: Zahájit [url= Server|Apache][denial of service]] útoky na několik daných IP adres, mezi kterými byla adresa Bílého domu. ** 28-31. den v měsíci: Žádné útočné aktivity. Při hledání zranitelných počítačů červ netestoval, zda vzdálený server běžel na zranitelné verzi IIS ani zda vůbec běžel na IIS. V přístupových logách serverů běžících na [[Apache[/url]] z té doby se často vyskytují záznamy podobné následujícímu:.
GET /default. ida. +moreNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.
Červův náklad je řetězec za posledním znakem 'N'. Kvůli přetečení bufferu ho zranitelný hostitel přeloží jako počítačové instrukce, čímž červa rozmnoží.
Podobní červi
4. srpna 2001 se objevil červ Code Red II, varianta původního červa Code Red. +more Ačkoliv napadá počítače stejným způsobem, jeho náklad je zcela odlišný. Své cíle si vybírá pseudonáhodně a rozhoduje se mezi cíli na stejné podsíti, jako je nakažený počítač a cíli na jiných podsítích, s tím, že rozdělení pravděpodobnosti se přiklání k cílům na stejné podsíti. Dalším rozdílem od původního Code Red je, že k přetížení bufferu používá řetězec znaků 'X' místo řetězce znaků 'N'.
Společnost eEye se domnívala, že Code Red II vznikl ve městě Makati na Filipínách, stejně jako červ VBS/Loveletter, známý jako "ILOVEYOU".
Odkazy
Reference
Související články
červ Nimda
Externí odkazy
[url=http://www. unixwiz. +morenet/techtips/CodeRedII. html]Analýza Code Red II[/url], Steve Friedl's Unixwiz. net, poslední aktualizace 22. srpna 2001 * [url=http://www. caida. org/research/security/code-red/]Analýza Code-Red od CAIDA[/url], Cooperative Association for Internet Data Analysis (CAIDA) ze San Diego Supercomputer Center (SDSC), aktualizováno v listopadu 2008 * [url=http://www. caida. org/research/security/code-red/newframes-small-log. mov]Animace znázorňující šířeni červu Code Red 19. července 2001[/url], od Jeffa Browna, UCSD a Davida Mooreho, CAIDA v SDSC.