Červ CodeRed v2: nebezpečí stále hrozí!

  5:00
Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Podle bezpečnostních expertů je v současnosti červem CodeRed v2 napadeno přibližně 18 tisíc systémů, které mohou být pomocí jednoduchého příkazu aktivovány a využity např. k DDoS útoku na libovolné webové servery. Varující je fakt, že se infekce stále šíří – zatímco v prosinci minulého roku bylo napadeno necelých 14 tisíc systémů, k dnešnímu dni je jich o více než 4 tisíce více. A nebezpečí, že takové útoky nastanou, je více než reálné!

Internetový červ CodeRed zneužívá chybu v ISAPI modulu IIS (Internet Information Server). Tato chyba umožňuje vzdálenému uživateli spouštět na serveru prakticky libovolnou vlastní aplikaci. V nebezpečí jsou zejména servery Microsoft Index Server 2.0 nebo Indexing Service s nainstalovanými Windows 2000 či IIS. Pokud červ díky výše uvedené chybě pronikne na server, spustí 100 vlastních procesů a v 99 % případů se pokusí o své rozšíření na náhodně vygenerované IP adresy. V případě, že nalezne server s neopravenou chybou, napadne jej. Na napadeném serveru pak na 10 hodin změní výchozí stránku webového serveru a zobrazí text: "Welcome to http://www.worm.com!, Hacked By Chinese!". Toto však nemusí být nutným pravidlem, protože některé z dalších modifikací červa již obsah webových stránek nemění. Původní červ CodeRed byl naprogramován tak, aby se od 1. do 19. v měsíci pouze šířil. Od 20. do 27. dne v měsíci pak zneužíval napadený server k distribuovanému DoS útoku na doménu www.whitehouse.gov. Útok prováděl tak, že z infikovaných serverů posílal na cílový server pakety o velikosti 100 kB. Původní verze červa byla po dobu své podvratné činnosti aktivní pouze v paměti a činnost tohoto červa bylo možno ukončit restartováním serveru.

Mnohem více problémů však způsobuje další verze tohoto červa, známá právě jako Code Red v2. Ta je ve většině znaků shodná s původní, ale navíc obsahuje trojského koně, který provádí zápis na disky napadeného počítače. Tato varianta využívá stejnou bezpečnostní chybu Microsoft IIS ve verzi 4.0 a 5.0, avšak pouze v kombinaci s operačním systémem Windows 2000. V okamžiku proniknutí do systému si tato varianta červa ověří systémové datum a pokud je rok menší než 2002 a měsíc menší než 10, začne se šířit na další počítače. V opačném případě napadený počítač jen restartuje. IP adresy počítačů, které červ prohledává, jsou náhodně generovány jen v jednom z osmi případů. Ve zbývajících sedmi případech používá červ algoritmus, který generuje IP adresu blízkou adrese právě napadeného počítače. Autor červa pravděpodobně vycházel z předpokladu, že ISP svým zákazníkům přidělují IP adresy v určité posloupnosti. Červ se navíc snaží generovat IP adresy náležející do bloku totožného s napadeným počítačem, což významně zvyšuje jeho úspěšnost.

Trojský kůň, kterého CodeRed v2 do systému vypouští, nakopíruje do virtuálních adresářů Scripts a MSADC nakopíruje soubor ROOT.EXE, což je ve skutečnosti přejmenovaný soubor CDM.EXE, který zabezpečuje přístup do systému. Po provedení této operace na disku C: i D: je v kořenovém adresáři obou disků vytvořen soubor EXPLORER.EXE, který se díky relativní cestě ke stejnojmennému souboru spustí po přihlášení do systému jako první. Následně je pak spuštěn skutečný EXPLORER.EXE. Výsledkem je to, že se při každém spuštění počítače vytvoří virtuální adresáře /C a /D, které svým obsahem odpovídají kořenovým adresářům disků C: a D:. Touto cestou se pak lze dostat k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče.

Výroky bezpečnostních expertů o nebezpečnosti a zákeřnosti tohoto internetového červa potvrzuje fakt, že jeho původní varianta stačila během prvních 24 hodin infikovat více než 350 tisíc serverů. Infikované stroje mohou být podle jejich názoru využity jako „útočná síť“. Aktivovat ji může prakticky libovolný on-line útočník, který má dostatečné technické znalosti...

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 45 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 21 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Za vyhynutím dinosaurům mohla být i doba temna

v diskusi nejsou příspěvky

29. března 2024

Dopad planetky je nyní většinou odborníků považován za hlavní příčinu vyhynutí zhruba 73 až 76 %...

Podívejte se na Boeing C-17 Globemaster, který do Česka přivezl nové vrtulníky

v diskusi jsou 2 příspěvky

29. března 2024

V sobotu 23. března dosedl v Praze nákladní letoun USAF, který vezl obzvlášť cenný náklad. Z...

Dočasná raketa se po téměř 70 letech loučí. Bude startovat naposledy

v diskusi jsou 4 příspěvky

28. března 2024  15:36,  aktualizováno  19:54

Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 21 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Velikonoce 2024: Na Velký pátek bude otevřeno, v pondělí obchody zavřou

Otevírací doba v obchodech se řídí zákonem, který nařizuje, že obchody s plochou nad 200 čtverečních metrů musí mít...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...