Code Red II

Code Red II
Тип сетевой червь
Год появления 4 августа 2001 года

Code Red II (также ошибочно известен как CRv3 или Code Red 3.0) — сетевой червь, появившийся утром в субботу 4 августа 2001 года — несколько позже вируса Code Red[1].

Хотя можно подумать, что этот червь является вариантом Code Red, но на деле это два разных червя, которые распространяются с помощью разных алгоритмов и содержат разную полезную нагрузку[2].

Ошибочное название вируса

[править | править код]

Code Red II часто называют Code Red 3.0 или CRv3 по той причине, что его часто ошибочно принимают за новую версию Code Red, хотя у «первого» червя было только две версии[2].

Схема работы

[править | править код]

Алгоритм генерации IP-адресов и распространения Code Red II больше направлен на заражение машин из той подсети, что и заражённая машина, этот алгоритм был хорош для заражения пользователей с кабельными модемами. Хотя это и маловероятно, но пользователь может получить оба червя Code Red[1].

В 1 из 8 случаев червь сгенерирует случайный IP-адрес, не входящий ни в один из диапазонов локального IP-адреса, в половине случаев он будет оставаться в пределах одного и того же диапазона класса A локального IP-адреса, а в 3 из 8 случаев он будет оставаться в том же диапазоне класса B локального IP-адреса. Если сгенерированный IP-адрес будет начинаться с числа 127 или 224 или будет совпадать с адресом локальной системы, то будет сгенерирован новый адрес[2].

При заражении червь также проверяет, не является ли локальным языком машины китайский, а также не установлен ли на ней «атом» «CodeRedII»: если да, то вирус засыпает, в противном случае вирус устанавливает атом и продолжает свою работу. Он создаёт троян explorer.exe, через который злоумышленник может удалённо получить доступ к серверу[2].

После своей работы червь спит 1 день (2 дня, если язык на системе китайский), после чего перезагружает Windows[2].

И Code Red, и Code Red II используют одну и ту же уязвимость в Internet Information Services. Microsoft выпустил патч, где уязвимость была исправлена, ещё в середине июня того же года — за месяц до появления обоих вирусов. В конце июля, уже после пробуждения Code Red, была организована кампания по призыву пользователей установить этот патч[3].

Сигнатура Code Red II, отображающаяся в журнале веб-сервера:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a HTTP/1.0

От сигнатуры Code Red она отличается тем, что символы «N» заменены на «X»[1].

  • Nimda — червь, использовавший бэкдоры, оставленные после Code Red II

Примечания

[править | править код]
  1. 1 2 3 Analysis of the new «Code Red II» Variant. Unixwiz.net. Дата обращения: 14 мая 2022. Архивировано из оригинала 13 декабря 2019 года.
  2. 1 2 3 4 5 Vulnerability Management Solutions. eEye Digital Security. Дата обращения: 14 мая 2022. Архивировано из оригинала 5 декабря 2004 года.
  3. Microsoft Sees Red: Worm Infects Its Own Servers. PC World. Дата обращения: 14 мая 2022. Архивировано из оригинала 27 апреля 2007 года.