Punainen koodi

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 8. huhtikuuta 2020 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .

punainen koodi
Koko nimi (Kaspersky)	Net-Worm.Win32.CodeRed.a
Tyyppi	verkkomato
ilmestymisvuosi	2001
Käytetty ohjelmisto	MS IIS
Symantec Kuvaus

Code Red  on tietokonevirus , joka on monivektoriverkkomato , joka julkaistiin verkkoon 13. heinäkuuta 2001 . Se hyökkäsi tietokoneisiin, joissa on Microsoft IIS -verkkopalvelin , onnistuneen tartunnan jälkeen käynnisti DoS-hyökkäyksen whitehouse.gov -verkkosivulle [1] [2] .

Kuvaus

Code Red -verkkomatosta tunnetaan ainakin kaksi perusversiota . Ensimmäinen lanseerattiin perjantaina 12. heinäkuuta 2001. Se ei käyttänyt sähköpostia sovellustiedostojen levittämiseen tai tartuttamiseen. Tartuttamalla uuden tietokoneen mato loi itsestään 100 kloonia, joista jokainen alkoi etsiä uusia kohteita levittääkseen Microsoftin IIS - verkkopalvelimen haavoittuvuuksien kautta . Kuten kävi ilmi, madon logiikassa oli useita vakavia virheitä, jotka aiheuttivat viruksen toisen version käynnistämisen. Se ilmestyi aamulla klo 10.00 19. heinäkuuta 2001 ja onnistui kello 14.00 mennessä saastuttamaan noin 359 000 tietokonetta. Hän pääsi median etusivuille [3] .

eEye Digital Securityn asiantuntijat tekivät matosta yksityiskohtaisen ja toiminnallisen kuvauksen ja analyysin . He antoivat virukselle myös nimen - viittauksen Mountain Dew'n ulkonäköön ja viruksen varoituslauseeseen "Hacked By Chinese!" ("Kiinan hakkeroitu!") on viittaus kommunistiseen Kiinaan , vaikka todellisuudessa viruksen ovat todennäköisesti kirjoittaneet etniset kiinalaiset Filippiineillä . Tällä lauseella mato korvasi sivustojen sisällön tartunnan saaneella palvelimella .

Mato käytti Microsoft IIS - verkkopalvelimen mukana tulleen indeksointiapuohjelman haavoittuvuutta . Toimittaja - Microsoft - kuvaili tämän haavoittuvuuden  verkkosivustollaan MS01-033 (englanniksi) ; lisäksi vastaava päivitys julkaistiin kuukautta ennen epidemiaa .  

Madon hyötykuorma mahdollisti sen:

• Korvaa asianomaisen sivuston sivujen sisältö seuraavalla lauseella:

  HEI! Tervetuloa osoitteeseen http://www.worm.com! Kiinan hakkeroitu!

• Skannaa ja kokeile uusia uhreja IIS:n avulla luoden IP-osoitteita tietyn algoritmin mukaan
• 20–27 päivää tartunnan jälkeen aloita DoS-hyökkäys useisiin IP-osoitteisiin, joista yksi kuului Amerikan Valkoiselle talolle .

Madon käyttämä haavoittuvuus perustuu puskurin ylivuotoon . Tarkistuksen aikana Code Red ei tarkistanut IIS:n olemassaoloa uudessa uhritietokoneessa, vaan lähetti yksinkertaisesti hyväksikäyttöpaketteja verkon yli luotuun IP -osoitteeseen siinä toivossa, että merkittävä osa tartunnoista lähetettiin näin melko tehottomasti. tapa löytää uhrinsa. Tämä intensiivinen skannausmenetelmä johti valtaviin määriin roskaliikennettä , ylikuormitti verkkoja ja teki madon läsnäolon lähes itsestään selväksi järjestelmänvalvojille. Vain viruksen luojien tuntemasta syystä se levisi aktiivisesti vain kunkin kuukauden 1. päivästä 19. päivään ja meni lepotilaan tartunnan saaneissa koneissa loppuajan [4] .

Jopa Apache - palvelimen lokeista , joihin IIS-haavoittuvuus ei tietenkään koskenut, voi löytää tällaisia ​​pyyntöjä:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNN %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Kaikkiaan alkuperäisestä matokoodista on tunnistettu ainakin kuusi versiota [5] . eEye - asiantuntijat väittävät , että mato alkoi levitä Filippiineillä sijaitsevasta Makati Citystä . Pian, 4. elokuuta 2001, alkoi levitä uusi mato Code Red II , jonka koodi samanlaisesta nimestä huolimatta luotiin uudelleen.

Katso myös

• Tietokonevirusten ja matojen aikajana

Muistiinpanot

1. ↑ Fisk, 2009 , s. 124.
2. ↑ Boulanger, Ghosh, 2010 , Code Red, s. 58-59.
3. ↑ Boulanger, Ghosh, 2010 , Code Red, s. 59-60.
4. ↑ Boulanger, Ghosh, 2010 , Code Red, s. 59.
5. ↑ Boulanger, Ghosh, 2010 , Code Red, s. 60.

Lähteet

• A. Boulanger, S. Ghosh. Haitallinen koodi // Kyberrikokset: Monitieteinen analyysi / S. Ghosh, E. Turrini. - Springer, 2010. - 45-72 s. — ISBN 978-3-642-13547-7 . - doi : 10.1007/978-3-642-13547-7 .
• N. Fisk. Haittaohjelmatapahtumat // Encyclopedia of Cybercrime / Samuel C. McQuade, III. - Lontoo : Greenwood Press, 2009. - S. 124. - ISBN 978-0-313-33974-5 .

Linkit

• Kuvaus matosta Kaspersky Labin Viruslist.com-sivustolla
•  eEye - matoanalyysi

2000-luvun hakkerihyökkäykset
Suurimmat hyökkäykset	Operaatio Bot Roast Operaatio Red October Hanke "Kanologia" titaaninen sade
Hakkereiden ryhmät ja yhteisöt	Nimetön Yksikkö 61398 (PLA)
yksinäisiä hakkereita	Dmitri Sklyarov
Havaittiin kriittisiä haavoittuvuuksia	Särkyttävä hyökkäys
Tietokonevirukset	Agent.BTZ Anna Kurnikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Huolehtia punainen koodi Koodi punainen II Commwarrior Conficker Cutwail donbot Festi Fizzer MINÄ RAKASTAN SINUA Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Läpäisevä Hyppysellinen Myrkkymuratti RFID-virus Rustock Suolaisuus Santy Sasser Raitis Niin iso SpyEye SQL Slammer Srizby Myrskymato Torpig Virut Vulcanbot Waledac Nolla pääsy Zeus Zobot
1990 -luku • 2000 -luku • 2010-luku