Code Red (wirus komputerowy)

Code Red – specyficzny rodzaj robaka komputerowego, odkryty w Internecie 15 lipca 2001 roku. Atakował on komputery z uruchomionym oprogramowaniem serwera Microsoft Internet Information Server (IIS). Był to pierwszy atak, który z powodzeniem dotknął sieci biurowe^[1].

Ten artykuł dotyczy wirusa komputerowego. Zobacz też: inne znaczenia.

Code Red

CRv, CRvII
Inne nazwy	.ida Code Red Worm
Rodzaj	robak komputerowy
Typ	blokujący serwery
Data izolacji	2001-07-15 15 lipca 2001(dts)

Robaka po raz pierwszy zlokalizowali i zbadali pracownicy eEye Digital Security, Marc Maiffret i Ryan Permeh, gdy wykorzystywał on lukę bezpieczeństwa odkrytą przez Rileya Hassella. Wspólnie nazwali go Code Red z powodu spożywanego w tym czasie napoju Code Red Mountain Dew^[2].

Pomimo uwolnienia do sieci robaka w dniu 13 lipca, dopiero 19 lipca 2001 roku zanotowano największą liczbę zainfekowanych maszyn – osiągnęła ona 359 tysięcy^[3].

Koncept

Luka bezpieczeństwa

Robak pokazał istnienie dziury bezpieczeństwa w oprogramowaniu dołączanym do IIS, opisanej w dokumencie Microsoft Security Bulletin MS01-033^[4], dla której miesiąc wcześniej wydano łatkę.

Rozprzestrzeniał się wykorzystując przepełnienie bufora. Doprowadzał do niego używając długiego łańcucha powtarzanej litery N, co pozwalało na wykonanie kodu infekującego maszynę. Kenneth D. Eichman jako pierwszy odkrył sposób na zablokowanie robaka i otrzymał za to zaproszenie do Białego Domu^[5].

Działanie

Działanie robaka obejmowało:

• zamianę treści wszystkich stron pobieranych z danego serwera WWW wyświetlając tekst:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• inne czynności, zależne od dnia miesiąca:^[6]
  • dni 1–19: próbował się kopiować na inne komputery z oprogramowaniem IIS, wyszukując serwery w Internecie
  • dni 20–27: uruchamiał atak typu Denial of Service (DoS) na kilka wybranych adresów IP (w tym m.in. na komputery Białego Domu)^[3]
  • dni 28–ostatni: brak aktywności.

W trakcie skanowania w poszukiwaniu zagrożonych komputerów robak nie sprawdzał, czy serwer zdalny używał niezałatanej wersji IIS i czy w ogóle posiadał to oprogramowanie. Dzienniki dostępu serwerów opartych na Apache często zawierały następujący wpis:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Danymi robaka jest ciąg znaków występujący po ostatniej literze 'N'. Z powodu przepełnienia bufora zagrożony host interpretował ten ciąg znaków jako polecenie, rozprzestrzeniając dalej robaka.

Pokrewne

4 sierpnia 2001 roku pojawił się Code Red II. Pomimo identycznego wektora, działał w inny sposób. Pseudo-losowo wybierał cele na tych samych lub innych podsieciach, do których były podłączone zainfekowane komputery, na podstawie określonego stopnia prawdopodobieństwa, faworyzując maszyny działające na własnej podsieci. Dodatkowo używał on ciągu liter 'X' zamiast 'N' do przepełnienia bufora.

Zdaniem eEye robak mógł zostać napisany w Makati na Filipinach, skąd również pochodzi VBS/Loveletter (znany też jako „ILOVEYOU”).