Chińscy specjaliści od zagadnień ochrony antywirusowej odkryli zmodyfikowany wariant robaka Code Red o nazwie Code Blue, który potencjalnie może powodować większe zniszczenia w systemach Windows NT/2000 niż Code Red.

Intrygującą cechą Code Blue jest to, że okazał się on wrogiem Code Red - usuwa go z pamięci i zmienia pliki w sposób uniemożliwiający przyszłą infekcją.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Podobnie jak wcześniejsze wersje Code Red, Code Blue wyprowadza atak typu DoS (Denial of Service), z tym że atak skierowany jest pod adresem ośrodka webowego w Chinach (211.99.196.135), zamiast ośrodka webowego Białego Domu.

Po zainfekowaniu systemu Code Blue sprowadza plik worma z innej zainfekowanej maszyny i w katalogu głównym tworzy kilka nowych plików - co okazuje się być manewrem maskującym. Tworzy pliki: HTTPEXT.DLL, SVCHOST.EXE i D.VBS. Dwa pierwsze są standardowymi, nieszkodliwymi plikami Windows NT/2000. Umieszczając je w katalogu głównym, worm próbuje odwrócić uwagę od prawdziwego zagrożenia. Plikiem szkodliwym jest kopia SVCHOST.EXE instalowana w sekcji startowej Windows - jest on zaprojektowany w taki sposób, aby worm mógł aktywować się za każdym startem systemu.

Z kolei D.VBS to skrypt niszczący robaka Code Red. Usuwa on jego aktywne kopie z pamięci systemu i wykonując pewne zmiany w konfiguracji IIS (Internet Information Server), zapobiega przed ponowną infekcją przez Code Red. Podobnie jak Code Red Code Blue inicjuje sto wątków, które przeszukują losowo adresy IP w poszukiwaniu innych, podatnych na tę infekcję, systemów.

Code Red pojawił się w lipcu, ale szczyt jego "działalności" przypadł na sierpień. Code Blue uważany jest za bardziej groźnego od wcześniejszych wariantów Code Red, ponieważ odmiennie niż poprzednik stopniowo zwiększa użytkowanie zasobów systemu Windows NT/2000 i może doprowadzić do zablokowania jego pracy. Dla porównania - komputery zaatakowane przez Code Red były zdolne do normalnego funkcjonowania bez widocznej degradacji wydajności systemu.

Wcześniejsze wersje Code Red wykorzystywały efekt pojedynczego przepełnienia bufora w Windows NT/2000, na którym pracował IIS. Z kolei Code Blue wykorzystuje inne luki systemowe, m.in. w przechodzeniu pomiędzy folderami serwera webowego w IIS, które mogły być wykorzystane przez użycie specjalnego URL pozwalającego na dostęp do plików i folderów na określonym dysku. Dawało to napastnikowi duży zakres kontroli nad zaatakowaną maszyną, obejmujący m.in. zdolność zmiany lub usuwania danych i sprowadzania oraz uruchamiania kodu na serwerze.

Code Blue wykorzystuje luki w Microsoft IIS 4 i 5, na które zostały już wcześniej przygotowane odpowiednie łatki programowe, ale wielu użytkowników po prostu ich nie zainstalowało, pozostawiając swoje systemy otwarte na infekcję.