Code Red II

Code Red II (также ошибочно известен как CRv3 или Code Red 3.0) — сетевой червь, появившийся утром в субботу 4 августа 2001 года — несколько позже вируса Code Red^[1].

Code Red II
Тип	сетевой червь
Год появления	4 августа 2001 года

Хотя можно подумать, что этот червь является вариантом Code Red, но на деле это два разных червя, которые распространяются с помощью разных алгоритмов и содержат разную полезную нагрузку^[2].

Ошибочное название вируса

Code Red II часто называют Code Red 3.0 или CRv3 по той причине, что его часто ошибочно принимают за новую версию Code Red, хотя у «первого» червя было только две версии^[2].

Схема работы

Алгоритм генерации IP-адресов и распространения Code Red II больше направлен на заражение машин из той подсети, что и заражённая машина, этот алгоритм был хорош для заражения пользователей с кабельными модемами. Хотя это и маловероятно, но пользователь может получить оба червя Code Red^[1].

В 1 из 8 случаев червь сгенерирует случайный IP-адрес, не входящий ни в один из диапазонов локального IP-адреса, в половине случаев он будет оставаться в пределах одного и того же диапазона класса A локального IP-адреса, а в 3 из 8 случаев он будет оставаться в том же диапазоне класса B локального IP-адреса. Если сгенерированный IP-адрес будет начинаться с числа 127 или 224 или будет совпадать с адресом локальной системы, то будет сгенерирован новый адрес^[2].

При заражении червь также проверяет, не является ли локальным языком машины китайский, а также не установлен ли на ней «атом» «CodeRedII»: если да, то вирус засыпает, в противном случае вирус устанавливает атом и продолжает свою работу. Он создаёт троян explorer.exe, через который злоумышленник может удалённо получить доступ к серверу^[2].

После своей работы червь спит 1 день (2 дня, если язык на системе китайский), после чего перезагружает Windows^[2].

И Code Red, и Code Red II используют одну и ту же уязвимость в Internet Information Services. Microsoft выпустил патч, где уязвимость была исправлена, ещё в середине июня того же года — за месяц до появления обоих вирусов. В конце июля, уже после пробуждения Code Red, была организована кампания по призыву пользователей установить этот патч^[3].

Сигнатура Code Red II, отображающаяся в журнале веб-сервера:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a HTTP/1.0

От сигнатуры Code Red она отличается тем, что символы «N» заменены на «X»^[1].

См. также

• Nimda — червь, использовавший бэкдоры, оставленные после Code Red II