Nie skończył się jeszcze atak opisanego przez nas robaka Sircam, a już pojawił się nowy gatunek internetowego szkodnika. Eksperci z Laboratorium Antywirusowego firmy Symantec (SARC) poinformowali o zwiększającej się liczbie przesyłanych próbek z robakiem CodeRed.

Robak ten atakuje systemy, w których pracują Microsoft Index Server 2.0 lub usługa Windows 2000 Indexing. Wykorzystuje znany błąd przepełnienia bufora w bibliotece IDQ.DLL.

Informacje oraz poprawka usuwająca ten błąd znajdują się na stronie: www.microsoft.com/technet/security/bulletin/MS01-033.asp. Microsoft zachęca administratorów do zainstalowania tej poprawki w celu zarówno uniknięcia robaka CodeRed, jak i innych prób nieautoryzowanego dostępu.

Robak rozsyła się wykorzystując żądanie HTTP. Przesyłany kod wykorzystuje przepełnienie bufora i w ten sposób robak uruchamia swoje działanie w systemie. Kod nie jest zapisywany w postaci pliku, ale zostaje bezpośrednio wpisany i uruchomiony w pamięci. Zainstalowanie poprawki i przeładowanie systemu pozwalają na usunięcie robaka i zabezpieczają przed kolejnymi infekcjami.

Oprócz działania polegającego na poszukiwaniu nowych komputerów do zainfekowania robak podejmuje również próbę ataku typu "Denial of Service". Inicjuje również wiele wątków, co może spowodować niestabilność systemu.

Po uruchomieniu się robak sprawdza, czy w systemie jest plik c:\notworm. Jeśli plik ten istnieje, wątek zostaje zawieszony. Gdy natomiast plik c:\notworm nie istnieje, są tworzone nowe wątki. Jeżeli jest przed 20 dniem miesiąca, to następnych 99 wątków próbuje dokonać ataku na kolejne systemy o przypadkowo wybranych adresach IP. Robak nie próbuje atakować adresów o numerach 127.*.*.*, unikając w ten sposób zapętlenia.

Ostatni wątek powoduje w komputerach wykorzystujących systemy w wersji angielskiej zmianę strony WWW. Początkowo wątek jest nieaktywny przez 2 godziny, a następnie zaczyna przechwytywać odwołania do funkcji odpowiadającej na żądania HTTP. Zamiast przesyłać treść prawdziwej strony WWW robak przesyła własny kod HTML. Kod ten powoduje wyświetlenie tekstu:

Welcome tohttp://www.worm.com!

Hacked By Chinese!

Przechwytywanie to trwa przez 10 godzin, po czym jest zakończone. Możliwa jest jednak ponowna "infekcja".

Również pomiędzy 20 i 28 dniem miesiąca robak próbuje dokonać ataku typu "Denial of Service", wysyłając duże ilości przypadkowych danych do portu 80 adresu 198.137.240.9 (jest to adres Białego Domu www.whitehouse.gov). Jeśli jest po 28 dniu miesiąca, to wszystkie wątki zostają zawieszone.

Stworzenie wielu wątków może powodować niestabilność systemu.