Kode Rød II

Code Red II (også fejlagtigt kendt som CRv3 eller Code Red 3.0 ) er en netværksorm , der dukkede op om morgenen lørdag den 4. august 2001 - noget senere end Code Red -virussen [1] .

Selvom man kunne tro, at denne orm er en variant af Code Red, er det faktisk to forskellige orme, der spredes ved hjælp af forskellige algoritmer og indeholder forskellige nyttelaster [2] .

Forkert navn på virussen

Code Red II omtales ofte som Code Red 3.0 eller CRv3, fordi det ofte forveksles med en ny version af Code Red, selvom den "første" orm kun havde to versioner [2] .

Arbejdsplan

Algoritmen til at generere IP-adresser og sprede Code Red II er mere rettet mod at inficere maskiner fra det samme undernet som den inficerede maskine, denne algoritme var god til at inficere brugere med kabelmodemmer . Selvom det er usandsynligt, er det muligt for en bruger at modtage begge koderøde orme [1] .

I 1 ud af 8 tilfælde vil ormen generere en tilfældig IP-adresse, der ikke er i nogen af ​​de lokale IP-adresseområder, i halvdelen af ​​tilfældene vil den forblive inden for det samme klasse A-område som den lokale IP-adresse, og i 3 ud af tilfældene af 8 tilfælde vil den forblive i det samme klasse B-område som den lokale IP-adresse. Hvis den genererede IP-adresse starter med 127 eller 224 eller matcher den lokale systemadresse, vil en ny adresse [2] blive genereret .

Ved infektion tjekker ormen også, om maskinens lokale sprog er kinesisk , og om "atomet" "CodeRedII" er installeret på den: hvis det er tilfældet, går virussen i dvale, ellers installerer virussen atomet og fortsætter sit arbejde. Det opretter en trojansk explorer.exe, hvorigennem en angriber kan få fjernadgang til serveren [2] .

Efter sit arbejde sover ormen i 1 dag (2 dage, hvis sproget på systemet er kinesisk), hvorefter den genstarter Windows [2] .

Både Code Red og Code Red II udnytter den samme sårbarhed i Internet Information Services . Microsoft udgav en patch , hvor sårbarheden blev rettet tilbage i midten af ​​juni samme år - en måned før fremkomsten af ​​begge vira. I slutningen af ​​juli, efter opvågningen af ​​Code Red, blev der organiseret en kampagne for at opmuntre brugerne til at installere denne patch [3] .

Kode Rød II- signatur , der vises i webserverloggen:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b% u53ff %u0078%u0000%u00=a HTTP/1.0

Den adskiller sig fra Code Red-signaturen ved, at tegnene "N" er erstattet af "X" [1] .

Se også

• Nimda - en orm, der brugte bagdøre tilbage efter Code Red II

Noter

1. ↑ 1 2 3 Analyse af den nye "Code Red II"-variant (linket er ikke tilgængeligt) . Unixwiz.net. Dato for adgang: 2022.05.14. Arkiveret fra originalen den 13. december 2019. (ubestemt) 
2. ↑ 1 2 3 4 5 Vulnerability Management Solutions (link ikke tilgængeligt) . eEye digital sikkerhed . Dato for adgang: 2022.05.14. Arkiveret fra originalen den 5. december 2004. (ubestemt) 
3. ↑ Microsoft ser rødt: ormen inficerer sine egne servere (link ikke tilgængeligt) . PC verden. Dato for adgang: 2022.05.14. Arkiveret fra originalen den 27. april 2007. (ubestemt)