Hlavní navigace

Code Red II -- double trouble?

Mirek Zeman 8. 8. 2001

1. srpna tohoto roku je zdárně za námi a médii předpovídaná apokalypsa, kterou měl způsobit počítačový červ .ida Code Red, se nekonala. Volné pokračování w32.CodeRed.C už zdaleka není tak přátelské -- je chytřejší, rychlejší a k přístupu do napadených systémů vám stačí obyčejný internetový prohlížeč.

1. srpen tohoto roku je zdárně za námi a médii předpovídaná apokalypsa, kterou měl způsobit počítačový červ .ida Code Red, se nekonala. Přestože FBI NIPC a Microsoft uspořádali společnou tiskovou konferenci a v rámci šíření hysterie navíc obeslali výstražným dopisem všech 46 právních atašé FBI po celém světě. Přestože CNN pohotově informovala, že všichni uživatelé operačních systémů Windows jsou ve vážném nebezpečí a přestože americké U.S. Air Force z obavy před tímto jednoduchým počítačovým skriptem raději odpojily své počítače od Internetu a neopoměli o tomto kroku informovat média. Mladá fronta Dnes navíc vyjma článku Virus chce zpomalit Internet otiskla na titulní straně fotografii jako vystřiženou z „béčkového“ hororu. Virtuální temno nenastalo – konec Internetu se odládá.

Záhy došlo k předvídatelné události – kdosi využil úspěšného modelu a naprogramoval zbrusu nového červa, který podle textu vepsaného ve svém těle dostal označení w32.CodeRed.C (resp. Code Red II, i když je v pořadí minimálně třetí), přestože s původním červem má pramálo společného, pouze funguje na obdobném principu. Využívá bezpečnostní chyby „.ida“ v softwaru Microsoft IIS verze 4.0 a 5.0, tentokrát ovšem pouze v kombinaci s operačním systémem Windows 2000. U Windows NT 4.0 způsobuje jen havárii počítače. w32.CodeRed.C je navíc zaměřený především na čínské operační systémy – detekuje-li počítač s čínským jazykovým nastavením (standardním či zjednodušeným), snaží se rozeslat dvojnásobek vlastních kopií, tj. 600 namísto 300.

Jakmile se červ zabydlí v systému, zkontroluje datum na systémových hodinách a pokud je rok menší než 2002 a měsíc menší než 10, započne s šířením infekce. V opačném případě pouze restartuje počítač. IP adresy scannovaných počítačů jsou zcela náhodně generovány pouze v jednom z osmi případů – ve zbývajících sedmi se používá zajímavý algoritmus vycházející z předpokladu, že ISP přidělují IP adresy zákazníkům „za sebou“, takže pochází z určitých bloků. Červ se proto snaží vygenerovat IP adresy náležející do bloku totožného s napadeným počítačem, což zvyšuje jeho úspěšnost. Rovněž není bez zajímavosti, že w32.CodeRed.C zcela ignoruje adresní rozsahy 127.x.x.x a 224.x.x.x. Jeho další činnost se zaměřuje výhradně na kompromitování systému.

Do virtuálních adresářů scripts a MSADC je nakopírován soubor root.exe, což je vlastně pouze přejmenovaný cdm.exe, který zabezpečuje přístup k systému. Jakmile se tento krok provede pro disk C:, následuje stejný postup u disku D:. V kořenovém adresáři obou disků se vytvoří soubor explorer.exe, který se díky relativní cestě ke stejnojmennému souboru (jež se stará kupříkladu o pracovní plochu apod.) spustí po přihlášení do systému jako první a až následně je spuštěn skutečný explorer.exe. Při každém spuštění počítače se tak vytvoří virtuální adresáře /c a /d, které obsahem odpovídají kořenovým adresářům disků C: a D:, takže nemusíte být žádný hacker, abyste se na takovém systému dostali k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče:

http://IpAddress/c/winnt/system32/cmd.exe?/c+dir

Je zřejmé, že w32.CodeRed.C je tak potenciálně mnohem nebezpečnější, než jeho jmenovitý předchůdce. Mainstreamová média, proto které původní červ představoval potenciální apokalypsu „zpomalením“ Internetu prostřednictvím DDoS (Distributed Denial-of-Service) útoků a tak možný lék na akutní okurkovou sezónu, zatím mlčí (v Mladé frontě Dnes byla krátká zprávička). Přitom při použití kupříkladu podobného dálkového ovladače si následně s napadeným systémem můžete dělat v podstatě cokoli. K odstranění w32.CodeRed.C by teoreticky mělo stačit vymazání souboru root.exe z adresářů scripts a MSADC na obou výše zmíněných discích a současně vymazání souboru explorer.exe z jejich kořenových adresářů. Aktuální záplata pro software Microsoft IIS se pak nachází tady.

Našli jste v článku chybu?
Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček