CodeRed – još jedna letnja infekcija

Sredinom jula, antivirusne kompanije su upozorile na pojavu još jednog novog virusa, nazvanog I-Worm.Bady, koji je, za kratko vreme, postao vrlo poznat i pod „nadimcima“ Bady i CodeRed. Bez obzira na upozorenje i na činjenicu da su sve antivirusne kompanije svojim bazama dodale i „lek“ za novu opasnost, u julu je virusom zaraženo preko 350.000 računara.

CodeRed napada isključivo servere (obični korisnici nemaju razloga za strah), i to one koji rade pod operativnim sistemima Windows NT i Windows 2000, sa serverskom platformom Microsoft Internet Information Server (IIS, verzije 4.0 i 5.0), sa uključenim Indexing Service-om. Napadi ovog virusa, koji pripada kategoriji crva, su uspešni zahvaljujući propustu u IIS, koji je Microsoft uočio i opisao u junu, nazvavši ga Unchecked Buffer in the Index Server ISAPI Extension, i ponudivši i „zakrpu“ koja efikasno rešava problem. Broj infekcija samo pokazuje da, bez obzira na sva upozorenja, sistem administratori i korisnici mreža, još uvek ne ažuriraju redovno svoj antivirusni softver, niti prate vesti o otkrivanju propusta u bezbednosti.

„Bombardujući“ HTTP servere, CodeRed uspeva da izmeni podatke u fajlu idq.dll, otvarajući „vrata“ za dalje delovanje, koje se ogleda u slanju sopstvenih kopija na druge IIS servere, čije se adrese generišu slučajnom metodom. Pored toga, CodeRed se i dalje umnožava na zaraženom serveru, trošeći procesorske i prostorne resurse, usporavajući server. Svaki od „klonova“ napada druge servere, ali i onaj na kome je već instaliran (u ko-zna-koliko kopija). Na taj način, infekcija se ubrzano širi, a serveri postaju „zagušeni“.

CodeRed je aktivan samo između 1. i 27. dana u mesecu, dok ostalih dana „spava“, ne dajući ikakve znake aktivnosti i svog prisustva. Zanimljivo je i da između 20. i 28. pokušava da ostvari vezu sa IP adresom servera na kome se hostuje sajt Bele kuće: zbog ovakve opasnosti, administratori ove lokacije su numeričku adresu promenili, ne bi li izbegli „zagušenje“ saobraćajem koji proizvodi CodeRed. U „repertoar“ virusa spada i zamena web-stranica čiji je kodni raspored US English, novom stranicom, na kojoj se nalazi tekst: „Welcome to http://www.worm.com! Hacked By Chinese!“. Delo kineskih hakera?

Korisne adrese: