Laboratorium Antywirusowe SARC poinformowało o zwiększającej się liczbie nadsyłanych próbek z robakiem CodeRed. Atakuje on systemy, w których pracuje Microsoft Index Server 2.0 lub usługa Windows 2000 Indexing.

Robak rozsyła się wykorzystując żądanie HTTP; przesyłany kod wykorzystuje przepełnienie bufora w bibliotece IDQ.DLL i w ten sposób uruchamia swoje działanie w systemie. Kod nie jest zapisywany w postaci pliku, ale zostaje bezpośrednio wpisany i uruchomiony w pamięci. Oprócz działania polegającego na poszukiwaniu nowych komputerów do zainfekowania, robak podejmuje również próbę ataku typu "Denial of Service". Inicjuje również wiele wątków, co może spowodować niestabilność systemu.

Po uruchomieniu się robak sprawdza, czy w systemie jest plik c:\notworm. Jeśli tak, wątek zostaje zawieszony. Brak tego pliku powoduje tworzenie nowych wątków. Jeżeli numer aktualnego dnia miesiąca jest mniejszy niż 20, to następnych 99 wątków próbuje dokonać ataku na kolejne systemy o przypadkowo wybranych adresach IP (robak nie próbuje atakować adresów o numerach 127.*.*.*, unikając w ten sposób zapętlenia). Ostatni wątek powoduje, w komputerach wykorzystujących systemy w wersji angielskiej, zmianę strony WWW. Początkowo wątek jest nieaktywny przez 2 godziny, a następnie zaczyna przechwytywać odwołania do funkcji odpowiadającej na żądania HTTP. Zamiast przesyłać treść prawdziwej strony WWW, robak przesyła własny kod HTML.

Kod ten powoduje wyświetlenie tekstu:

Welcome tohttp://www.worm.com!

Hacked By Chinese!

Przechwytywanie to trwa przez 10 godzin. Możliwa jest jednak ponowna infekcja.

Pomiędzy 20 i 28 dniem miesiąca, robak próbuje dokonać ataku typu "Denial of Service", wysyłając duże ilości przypadkowych danych do portu 80 adresu 198.137.240.9 (jest to adres Białego Domu w Waszyngtonie - www.whitehouse.gov). Po dniu 28 wszystkie wątki zostają zawieszone.

Dla użytkowników, którzy zidentyfikowali wirusa na swoich serwerach Windows NT/2000, na których pracuje IIS, najprostszym sposobem pozbycia się problemu jest przeładowanie zainfekowanej maszyny. Ponieważ Code Red rezyduje jedynie w pamięci, to zostanie usunięty po zamknięciu systemu. Po restarcie systemu trzeba koniecznie zainstalować łatkę usuwająca lukę wykorzystywaną przez Code Red.

Odpowiednia łatka może być sprowadzona spod adresów:

Windows NT -http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server i Advanced Server -http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Wskazówki jak zainstalować łatki i inne informacje o wirusie można znaleźć pod adresem:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp