Czerwona flaga w Internecie

Code Red, samorozprzestrzeniające się oprogramowanie typu worm, atakuje serwery IIS.

Code Red, samorozprzestrzeniające się oprogramowanie typu worm, atakuje serwery IIS.

Atak wirusa Code Red został określony przez administratorów NTBugtraq, listy dyskusyjnej o lukach w systemie zabezpieczeń Windows NT i 2000 jako "największy przypadek naruszenia bezpieczeństwa w historii Internetu". "Robak", który po raz pierwszy zaatakował 19 lipca br., wykorzystuje lukę w systemie zabezpieczeń serwerów Microsoft IIS, odkrytą w połowie czerwca br. Code Red infekuje serwer, na którym nie zainstalowano stosownej łaty, po czym w ten sam sposób atakuje kolejne 100 serwerów. Proces samodzielnego rozprzestrzeniania się wirusa trwa od pierwszego do dziewiętnastego dnia każdego miesiąca. W okresie od dwudziestego do dwudziestego siódmego dnia miesiąca z każdego zainfekowanego serwera następuje atak 100 KB pakietami na stronę internetową Białego Domu - whitehouse.gov. Od dwudziestego ósmego dnia do końca miesiąca Code Red ukrywa się w systemie.

Według instytutu CERT, Code Red w ciągu pierwszych 9 godz. od momentu pojawienia się zainfekował ponad 250 tys. serwerów To, że wirus zaatakował w przedostatni dzień swojej aktywności sprawiło, iż nie zablokował komunikacji w Internecie. 1 sierpnia br. Code Red uderzył ponownie i, rozprzestrzeniając się nieco wolniej, zainfekował w ciągu 24 godz. ok. 99 tys. serwerów WWW. Eksperci zwracają jednak uwagę, że liczba ta może wzrosnąć, gdyż do kolejnego okresu zaprzestania rozmnażania wirusa - czyli do 20 sierpnia br. - pozostało jeszcze wiele czasu. Wydaje się jednak, że apele dotyczące instalacji poprawki uniemożliwiającej powodzenie ataku wirusa poskutkowały na tyle, że nie stanowi on zagrożenia dla wydajności pracy całego Internetu. Według informacji Microsoftu, do początku sierpnia br. stosowną poprawkę pobrał ponad 1 mln użytkowników serwerów IIS (na świecie funkcjonuje ok. 6 mln serwerów IIS).

Wiwisekcja robala

Celem ataku Code Red jest serwer Index Server 2.0, który standardowo znajduje się w systemie Windows 2000, a także zawarty jest w pakiecie Option Pack (z serwerem IIS 4.0) dla Windows NT 4.0. Na ataki narażeni są również użytkownicy systemu Whistler (Windows XP i Windows .NET Server). Microsoft zapewnia jednak, że błędu umożliwiającego aktywność wirusa nie ma już w wersjach RC1 i nowszych (od wersji 3505).

Code Red wykorzystuje lukę w zabezpieczeniach mechanizmu przeka- zywania adresów URL w bibliotece IDQ.DLL. Jest ona podatna na atak polegający na przepełnieniu bufora, umożliwiając atakującemu po wpisaniu odpowiednio długiego i sformatowanego zapytania URL wykonanie dowolnego kodu na serwerze internetowym. Biblioteka IDQ.DLL działa w kontekście systemowym, toteż obejście jej zabezpieczeń daje atakującemu pełne prawa w atakowanym systemie.

Do usunięcia wirusa z zainfekowanego systemu wystarczy restart serwera. Restart nie zabezpiecza jednak przed ponowną infekcją. Do trwałego zabezpieczenia niezbędna jest instalacja poprawki korygującej bibliotekę IDQ.DLL, dostępnej na stronie Microsoftu. Jeśli jest to niemożliwe, administrator powinien usunąć wszystkie mapowania, umożliwiające wykonywanie skryptów .IDQ i .IDA (we właściwościach serwisu internetowego).

Małe straty

Code Red nie jest groźny, ale jego zwielokrotnione działanie na wielu serwerach internetowych może być bardzo dokuczliwe. Wirus rozprzestrzenia się wykorzystując komunikację HTTP (port 80). Po udanej infekcji nie zapisuje się w postaci pliku, lecz działa bezpośrednio w pamięci.

Code Red uruchamia w zainfekowanym systemie 100 wątków. 99 z nich odpowiada za jego dalszą dystrybucję, atakując komputery o przypadkowo wybranych numerach IP. Ostatni wątek sprawdza, czy serwer, na którym działa, korzysta z amerykańskiej wersji Windows NT/2000. Jeżeli tak, to przechwytuje wszystkie zapytania do lokalnej strony WWW i zamiast niej odsyła stronę z tekstem Welcome tohttp://www.worm.com !, Hacked by Chinese! Wątek ten kończy działanie po 10 godz. i nie pojawia się do czasu ponownej infekcji systemu z innego serwera.

Na początku każdy wątek sprawdza czy w katalogu C:\ znajduje się plik notworm. Jeśli takiego pliku nie znajdzie, rozpoczyna działanie.

Między 20 a 27 każdego miesiąca Code Red się nie rozprzestrzenia, lecz wy- syła na port 80 adresu 198.137.240.9 (do niedawna pod tym adresem znajdowała się stronahttp://www.whitehouse.gov ) 100 KB przypadkowych danych. Według przedstawicieli firmy Sunbelt, oznacza to, że pojedyncza instancja wirusa w ciągu 4,5 godz. próbuje wysyłać 410 MB danych na adres serwera Białego Domu.

Reperkusje

Eksperci ostrzegają, że lada chwila mogą się pojawić kolejne, bardziej destrukcyjne mutacje Code Red. Jedna z nich, różniąca się od oryginału zaledwie 13 bajtami kodu, nie próbuje już m.in. wysyłać podmienionej strony WWW. Powoduje to, że trudniej jest zauważyć, iż serwer został zainfekowany.

Według szacunków firmy analitycznej Computer Economics, straty spowodowane przestojem zaatakowanych przez Code Red serwerów oraz wynikająca z tego powodu strata produktywności w wyniku lipcowego ataku wirusa wynosi ponad 1,2 mld USD.


TOP 200