코드 레드 (컴퓨터 웜)

코드 레드(Code Red) 웜은 2001년 7월 13일 처음 관찰된 웜 바이러스로, 마이크로소프트 인터넷 정보 서비스(IIS)의 버퍼 오버플로 취약점을 이용하였다. 또한 감염된 후 20일~27일 동안 잠복한 후, 미국 백악관 홈페이지 등 몇몇 IP에 서비스 거부 공격(DoS)을 하는 루틴도 포함되어 있었다.

.ida 코드 레드 웜

보통 명칭	코드 레드
기술 명칭	CRv and CRvII
유형	서버 재밍 웜(Server Jamming Worm)
격리일	2001년 7월 15일

웜이 7월 13일 공개되었으나 감염된 최대 컴퓨터 그룹은 2001년 7월 19일 관찰되었다. 이 날, 감염된 호스트의 수는 359,000대에 다다랐다.^[1]

개념

웜 페이로드

웜의 페이로드에는 다음이 포함되었다:

• 표시되는 웹사이트의 변조:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• 해당 달의 날에 기반한 다른 활동:^[2]
  • 1-19일: 인터넷의 더 많은 IIS 서버를 검색함으로써 스스로를 전파한다.
  • 20–27일: 여러 고정 IP 주소에 서비스 거부 공격을 수행한다. 백악관 웹 서버의 IP 주소가 이 중에 속해 있다.^[1]
  • 28일~월말: 수면. 별다른 활동 없음.

취약한 머신을 스캔할 때 이 웜은 운격 머신이 취약한 버전의 IIS를 사용하는지, 또 전적으로 IIS를 사용하는지도 테스트하지 않았다. 이 시기 아파치 접속 기록은 다음과 같은 항목이 포함되었다:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

이 웜의 페이로드는 마지막 N으로 마무리된다. 버퍼 오버플로 때문에, 취약성이 있는 호스트는 이 문자열을 컴퓨터 명령으로 해석하고 웜을 전파시킨다.

같이 보기

• 님다