Code Red II
Code Red II | |
---|---|
Тип | сетевой червь |
Год появления | 4 августа 2001 года |
Code Red II (также ошибочно известен как CRv3 или Code Red 3.0) — сетевой червь, появившийся утром в субботу 4 августа 2001 года — несколько позже вируса Code Red[1].
Хотя можно подумать, что этот червь является вариантом Code Red, но на деле это два разных червя, которые распространяются с помощью разных алгоритмов и содержат разную полезную нагрузку[2].
Ошибочное название вируса
[править | править код]Code Red II часто называют Code Red 3.0 или CRv3 по той причине, что его часто ошибочно принимают за новую версию Code Red, хотя у «первого» червя было только две версии[2].
Схема работы
[править | править код]Алгоритм генерации IP-адресов и распространения Code Red II больше направлен на заражение машин из той подсети, что и заражённая машина, этот алгоритм был хорош для заражения пользователей с кабельными модемами. Хотя это и маловероятно, но пользователь может получить оба червя Code Red[1].
В 1 из 8 случаев червь сгенерирует случайный IP-адрес, не входящий ни в один из диапазонов локального IP-адреса, в половине случаев он будет оставаться в пределах одного и того же диапазона класса A локального IP-адреса, а в 3 из 8 случаев он будет оставаться в том же диапазоне класса B локального IP-адреса. Если сгенерированный IP-адрес будет начинаться с числа 127 или 224 или будет совпадать с адресом локальной системы, то будет сгенерирован новый адрес[2].
При заражении червь также проверяет, не является ли локальным языком машины китайский, а также не установлен ли на ней «атом» «CodeRedII»: если да, то вирус засыпает, в противном случае вирус устанавливает атом и продолжает свою работу. Он создаёт троян explorer.exe, через который злоумышленник может удалённо получить доступ к серверу[2].
После своей работы червь спит 1 день (2 дня, если язык на системе китайский), после чего перезагружает Windows[2].
И Code Red, и Code Red II используют одну и ту же уязвимость в Internet Information Services. Microsoft выпустил патч, где уязвимость была исправлена, ещё в середине июня того же года — за месяц до появления обоих вирусов. В конце июля, уже после пробуждения Code Red, была организована кампания по призыву пользователей установить этот патч[3].
Сигнатура Code Red II, отображающаяся в журнале веб-сервера:
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a HTTP/1.0
От сигнатуры Code Red она отличается тем, что символы «N» заменены на «X»[1].
См. также
[править | править код]Примечания
[править | править код]- ↑ 1 2 3 Analysis of the new «Code Red II» Variant . Unixwiz.net. Дата обращения: 14 мая 2022. Архивировано из оригинала 13 декабря 2019 года.
- ↑ 1 2 3 4 5 Vulnerability Management Solutions . eEye Digital Security. Дата обращения: 14 мая 2022. Архивировано из оригинала 5 декабря 2004 года.
- ↑ Microsoft Sees Red: Worm Infects Its Own Servers . PC World. Дата обращения: 14 мая 2022. Архивировано из оригинала 27 апреля 2007 года.