Kode rød

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 8. april 2020; checks kræver 3 redigeringer .
kode rød
Fulde navn (Kaspersky) Net-Worm.Win32.CodeRed.a
Type netværksorm
År for optræden 2001
Software brugt MS IIS
Symantec beskrivelse

Code Red  er en computervirus, der er en multi-vektor netværksorm , der blev frigivet til netværket den 13. juli 2001 . Det angreb computere, der kørte Microsoft IIS -webserveren , efter en vellykket infektion , lancerede et DoS-angreb på whitehouse.gov -websiden [1] [2] .

Beskrivelse

Mindst to grundlæggende versioner af Code Red netværksormen er kendt . Den første blev lanceret fredag ​​den 12. juli 2001. Den brugte ikke e-mail til at sprede eller inficere applikationsfiler. Ved at inficere en ny computer skabte ormen 100 kloner af sig selv, som hver begyndte at lede efter nye mål, der kunne spredes gennem sårbarheder i Microsofts IIS - webserver . Som det viste sig, var der flere alvorlige fejl i ormens logik, som forårsagede lanceringen af ​​den anden version af virussen. Den dukkede op om morgenen kl. 10.00 den 19. juli 2001, og kl. 14.00 lykkedes det at inficere cirka 359.000 computere. Det var hende, der ramte mediernes forsider [3] .

En detaljeret og operationel beskrivelse og analyse af ormen blev lavet af eEye Digital Security- specialister . De gav også virussen et navn - en henvisning til udseendet af Mountain Dew og advarselssætningen i virussen "Hacked By Chinese!" ("Hacket af kineserne!") er en hentydning til det kommunistiske Kina , selvom virussen i virkeligheden højst sandsynligt er skrevet af etniske kinesere i Filippinerne . Med denne sætning erstattede ormen indholdet af websteder på den inficerede server .

Ormen brugte en sårbarhed i et indekseringsværktøj, der fulgte med Microsoft IIS -webserveren . Denne sårbarhed blev beskrevet af leverandøren  - Microsoft - på deres hjemmeside MS01-033 (engelsk) ; derudover blev der udgivet en tilsvarende opdatering en måned før epidemien .  

Ormens nyttelast tillod den at gøre følgende:

Den sårbarhed, som ormen udnytter, er baseret på et bufferoverløb . Under scanningen tjekkede Code Red ikke for tilstedeværelsen af ​​IIS på den nye offercomputer, men sendte blot udnyttelsespakker over netværket til den genererede IP-adresse i håbet om, at en betydelig del af infektionerne sendte i en sådan ret ineffektiv måde at finde deres ofre. Denne intensive scanningsmetode resulterede i enorme mængder af uønsket trafik , overbelastning af netværk og gjorde ormens tilstedeværelse næsten indlysende for administratorer. Af en grund, der kun er kendt af skaberne af virussen, spredte den sig kun aktivt fra den 1. til den 19. i hver måned og gik i dvale på inficerede maskiner i resten af ​​tiden [4] .

Selv i logfilerne på Apache -serveren , hvor IIS-sårbarheden naturligvis ikke gjaldt, kunne man finde sådanne anmodninger:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

I alt er der identificeret mindst seks versioner af den originale ormekode [5] . Øjeneksperter hævder, at ormen begyndte at sprede sig fra Makati City i Filippinerne . Snart, den 4. august 2001, begyndte en ny orm Code Red II at sprede sig , hvis kode, på trods af det lignende navn, blev oprettet på ny.

Se også

Noter

  1. Fisk, 2009 , s. 124.
  2. Boulanger, Ghosh, 2010 , Code Red, s. 58-59.
  3. Boulanger, Ghosh, 2010 , Code Red, s. 59-60.
  4. Boulanger, Ghosh, 2010 , Code Red, s. 59.
  5. Boulanger, Ghosh, 2010 , Code Red, s. 60.

Kilder

Links