Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...
Podle bezpečnostních expertů je v současnosti červem CodeRed v2 napadeno přibližně 18 tisíc systémů, které mohou být pomocí jednoduchého příkazu aktivovány a využity např. k DDoS útoku na libovolné webové servery. Varující je fakt, že se infekce stále šíří – zatímco v prosinci minulého roku bylo napadeno necelých 14 tisíc systémů, k dnešnímu dni je jich o více než 4 tisíce více. A nebezpečí, že takové útoky nastanou, je více než reálné!
Internetový červ CodeRed zneužívá chybu v ISAPI modulu IIS (Internet Information Server). Tato chyba umožňuje vzdálenému uživateli spouštět na serveru prakticky libovolnou vlastní aplikaci. V nebezpečí jsou zejména servery Microsoft Index Server 2.0 nebo Indexing Service s nainstalovanými Windows 2000 či IIS. Pokud červ díky výše uvedené chybě pronikne na server, spustí 100 vlastních procesů a v 99 % případů se pokusí o své rozšíření na náhodně vygenerované IP adresy. V případě, že nalezne server s neopravenou chybou, napadne jej. Na napadeném serveru pak na 10 hodin změní výchozí stránku webového serveru a zobrazí text: "Welcome to http://www.worm.com!, Hacked By Chinese!". Toto však nemusí být nutným pravidlem, protože některé z dalších modifikací červa již obsah webových stránek nemění. Původní červ CodeRed byl naprogramován tak, aby se od 1. do 19. v měsíci pouze šířil. Od 20. do 27. dne v měsíci pak zneužíval napadený server k distribuovanému DoS útoku na doménu www.whitehouse.gov. Útok prováděl tak, že z infikovaných serverů posílal na cílový server pakety o velikosti 100 kB. Původní verze červa byla po dobu své podvratné činnosti aktivní pouze v paměti a činnost tohoto červa bylo možno ukončit restartováním serveru.
Mnohem více problémů však způsobuje další verze tohoto červa, známá právě jako Code Red v2. Ta je ve většině znaků shodná s původní, ale navíc obsahuje trojského koně, který provádí zápis na disky napadeného počítače. Tato varianta využívá stejnou bezpečnostní chybu Microsoft IIS ve verzi 4.0 a 5.0, avšak pouze v kombinaci s operačním systémem Windows 2000. V okamžiku proniknutí do systému si tato varianta červa ověří systémové datum a pokud je rok menší než 2002 a měsíc menší než 10, začne se šířit na další počítače. V opačném případě napadený počítač jen restartuje. IP adresy počítačů, které červ prohledává, jsou náhodně generovány jen v jednom z osmi případů. Ve zbývajících sedmi případech používá červ algoritmus, který generuje IP adresu blízkou adrese právě napadeného počítače. Autor červa pravděpodobně vycházel z předpokladu, že ISP svým zákazníkům přidělují IP adresy v určité posloupnosti. Červ se navíc snaží generovat IP adresy náležející do bloku totožného s napadeným počítačem, což významně zvyšuje jeho úspěšnost.
Trojský kůň, kterého CodeRed v2 do systému vypouští, nakopíruje do virtuálních adresářů Scripts a MSADC nakopíruje soubor ROOT.EXE, což je ve skutečnosti přejmenovaný soubor CDM.EXE, který zabezpečuje přístup do systému. Po provedení této operace na disku C: i D: je v kořenovém adresáři obou disků vytvořen soubor EXPLORER.EXE, který se díky relativní cestě ke stejnojmennému souboru spustí po přihlášení do systému jako první. Následně je pak spuštěn skutečný EXPLORER.EXE. Výsledkem je to, že se při každém spuštění počítače vytvoří virtuální adresáře /C a /D, které svým obsahem odpovídají kořenovým adresářům disků C: a D:. Touto cestou se pak lze dostat k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče.
Výroky bezpečnostních expertů o nebezpečnosti a zákeřnosti tohoto internetového červa potvrzuje fakt, že jeho původní varianta stačila během prvních 24 hodin infikovat více než 350 tisíc serverů. Infikované stroje mohou být podle jejich názoru využity jako „útočná síť“. Aktivovat ji může prakticky libovolný on-line útočník, který má dostatečné technické znalosti...
