Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Červ CodeRed v2: nebezpečí stále hrozí!

  5:00aktualizováno  5:00
Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Podle bezpečnostních expertů je v současnosti červem CodeRed v2 napadeno přibližně 18 tisíc systémů, které mohou být pomocí jednoduchého příkazu aktivovány a využity např. k DDoS útoku na libovolné webové servery. Varující je fakt, že se infekce stále šíří – zatímco v prosinci minulého roku bylo napadeno necelých 14 tisíc systémů, k dnešnímu dni je jich o více než 4 tisíce více. A nebezpečí, že takové útoky nastanou, je více než reálné!

Internetový červ CodeRed zneužívá chybu v ISAPI modulu IIS (Internet Information Server). Tato chyba umožňuje vzdálenému uživateli spouštět na serveru prakticky libovolnou vlastní aplikaci. V nebezpečí jsou zejména servery Microsoft Index Server 2.0 nebo Indexing Service s nainstalovanými Windows 2000 či IIS. Pokud červ díky výše uvedené chybě pronikne na server, spustí 100 vlastních procesů a v 99 % případů se pokusí o své rozšíření na náhodně vygenerované IP adresy. V případě, že nalezne server s neopravenou chybou, napadne jej. Na napadeném serveru pak na 10 hodin změní výchozí stránku webového serveru a zobrazí text: "Welcome to http://www.worm.com!, Hacked By Chinese!". Toto však nemusí být nutným pravidlem, protože některé z dalších modifikací červa již obsah webových stránek nemění. Původní červ CodeRed byl naprogramován tak, aby se od 1. do 19. v měsíci pouze šířil. Od 20. do 27. dne v měsíci pak zneužíval napadený server k distribuovanému DoS útoku na doménu www.whitehouse.gov. Útok prováděl tak, že z infikovaných serverů posílal na cílový server pakety o velikosti 100 kB. Původní verze červa byla po dobu své podvratné činnosti aktivní pouze v paměti a činnost tohoto červa bylo možno ukončit restartováním serveru.

Mnohem více problémů však způsobuje další verze tohoto červa, známá právě jako Code Red v2. Ta je ve většině znaků shodná s původní, ale navíc obsahuje trojského koně, který provádí zápis na disky napadeného počítače. Tato varianta využívá stejnou bezpečnostní chybu Microsoft IIS ve verzi 4.0 a 5.0, avšak pouze v kombinaci s operačním systémem Windows 2000. V okamžiku proniknutí do systému si tato varianta červa ověří systémové datum a pokud je rok menší než 2002 a měsíc menší než 10, začne se šířit na další počítače. V opačném případě napadený počítač jen restartuje. IP adresy počítačů, které červ prohledává, jsou náhodně generovány jen v jednom z osmi případů. Ve zbývajících sedmi případech používá červ algoritmus, který generuje IP adresu blízkou adrese právě napadeného počítače. Autor červa pravděpodobně vycházel z předpokladu, že ISP svým zákazníkům přidělují IP adresy v určité posloupnosti. Červ se navíc snaží generovat IP adresy náležející do bloku totožného s napadeným počítačem, což významně zvyšuje jeho úspěšnost.

Trojský kůň, kterého CodeRed v2 do systému vypouští, nakopíruje do virtuálních adresářů Scripts a MSADC nakopíruje soubor ROOT.EXE, což je ve skutečnosti přejmenovaný soubor CDM.EXE, který zabezpečuje přístup do systému. Po provedení této operace na disku C: i D: je v kořenovém adresáři obou disků vytvořen soubor EXPLORER.EXE, který se díky relativní cestě ke stejnojmennému souboru spustí po přihlášení do systému jako první. Následně je pak spuštěn skutečný EXPLORER.EXE. Výsledkem je to, že se při každém spuštění počítače vytvoří virtuální adresáře /C a /D, které svým obsahem odpovídají kořenovým adresářům disků C: a D:. Touto cestou se pak lze dostat k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče.

Výroky bezpečnostních expertů o nebezpečnosti a zákeřnosti tohoto internetového červa potvrzuje fakt, že jeho původní varianta stačila během prvních 24 hodin infikovat více než 350 tisíc serverů. Infikované stroje mohou být podle jejich názoru využity jako „útočná síť“. Aktivovat ji může prakticky libovolný on-line útočník, který má dostatečné technické znalosti...



Nejčtenější

Vyřešil jsem nejslavnější záhadu, tvrdí devadesátiletý britský matematik

Britský matematik Michael Atiyah (2018)

Britsko-libanonský matematik Michael Atiyah tvrdí, že našel důkaz jednoho z nejslavnějších nevyřešených matematických...

„Je to jen bonus!“ Slavný matematik největší záhadu vyřešil jinou záhadou

Heidelberg Laureate Forum 2018 - Michael Atiyah

Devadesátiletý matematik, sir Michael Atiyah, vystoupil před odbornou veřejností, aby představil své řešení tzv....



Zelená Sahara, o hodinu delší den a rozpad Afriky. Co čeká naši planetu?

Budoucnost

Na základě současných poznatků dokážou vědci odhadnout, co se stane v daleké budoucnosti. Připravili jsme pro vás výběr...

Tentokrát vás vyděrači při masturbaci nenatočili, uklidňuje policie

účet trhlý

Do mnohých e-mailových schránek dorazila zpráva o napadení daného účtu a instalaci viru, který uživatele pomocí kamery...

Po 50 letech se poletí k Měsíci, vesmírným turistou bude japonský miliardář

Prvním vesmírným turistou, který se vydá na oběžnou dráhu kolem Měsíce, bude...

Prvním vesmírným turistou, který se vydá na oběžnou dráhu kolem Měsíce, bude japonský miliardář Júsaku Maezawa....

Další z rubriky

Tipy a triky pro Windows 10: představuje se lepší Start menu

Tipy a triky pro Windows 10

Personifikace vládne světu. I proto Microsoft nově umožňuje uživatelům ještě více osobního nastavení systému. Podívejte...

Stáhněte si zdarma: lepší vyhledávání souborů a informací v nich

Ilustrační foto - práce na PC

Vyhledávač informací v PC a duplicitních souborů se jmenuje LookDisk. Tvorbu screenshotů s popisky s možností uložit je...

Po čtyřech letech Google zařízne Inbox, populární alternativu Gmailu

První spuštění webové verze Inbox by Gmail

Od roku 2014 mohli uživatelé služby Gmail k vyřizování e-mailů využívat alternativní rozhraní, poněkud odlehčenou...



Najdete na iDNES.cz