Code Red II -- double trouble?

1. srpen tohoto roku je zdárně za námi a médii předpovídaná apokalypsa, kterou měl způsobit počítačový červ .ida Code Red, se nekonala. Přestože FBI NIPC a Microsoft uspořádali společnou tiskovou konferenci a v rámci šíření hysterie navíc obeslali výstražným dopisem všech 46 právních atašé FBI po celém světě. Přestože CNN pohotově informovala, že všichni uživatelé operačních systémů Windows jsou ve vážném nebezpečí a přestože americké U.S. Air Force z obavy před tímto jednoduchým počítačovým skriptem raději odpojily své počítače od Internetu a neopoměli o tomto kroku informovat média. Mladá fronta Dnes navíc vyjma článku Virus chce zpomalit Internet otiskla na titulní straně fotografii jako vystřiženou z „béčkového“ hororu. Virtuální temno nenastalo – konec Internetu se odládá.

Záhy došlo k předvídatelné události – kdosi využil úspěšného modelu a naprogramoval zbrusu nového červa, který podle textu vepsaného ve svém těle dostal označení w32.CodeRed.C (resp. Code Red II, i když je v pořadí minimálně třetí), přestože s původním červem má pramálo společného, pouze funguje na obdobném principu. Využívá bezpečnostní chyby „.ida“ v softwaru Microsoft IIS verze 4.0 a 5.0, tentokrát ovšem pouze v kombinaci s operačním systémem Windows 2000. U Windows NT 4.0 způsobuje jen havárii počítače. w32.CodeRed.C je navíc zaměřený především na čínské operační systémy – detekuje-li počítač s čínským jazykovým nastavením (standardním či zjednodušeným), snaží se rozeslat dvojnásobek vlastních kopií, tj. 600 namísto 300.

Jakmile se červ zabydlí v systému, zkontroluje datum na systémových hodinách a pokud je rok menší než 2002 a měsíc menší než 10, započne s šířením infekce. V opačném případě pouze restartuje počítač. IP adresy scannovaných počítačů jsou zcela náhodně generovány pouze v jednom z osmi případů – ve zbývajících sedmi se používá zajímavý algoritmus vycházející z předpokladu, že ISP přidělují IP adresy zákazníkům „za sebou“, takže pochází z určitých bloků. Červ se proto snaží vygenerovat IP adresy náležející do bloku totožného s napadeným počítačem, což zvyšuje jeho úspěšnost. Rovněž není bez zajímavosti, že w32.CodeRed.C zcela ignoruje adresní rozsahy 127.x.x.x a 224.x.x.x. Jeho další činnost se zaměřuje výhradně na kompromitování systému.

Do virtuálních adresářů scripts a MSADC je nakopírován soubor root.exe, což je vlastně pouze přejmenovaný cdm.exe, který zabezpečuje přístup k systému. Jakmile se tento krok provede pro disk C:, následuje stejný postup u disku D:. V kořenovém adresáři obou disků se vytvoří soubor explorer.exe, který se díky relativní cestě ke stejnojmennému souboru (jež se stará kupříkladu o pracovní plochu apod.) spustí po přihlášení do systému jako první a až následně je spuštěn skutečný explorer.exe. Při každém spuštění počítače se tak vytvoří virtuální adresáře /c a /d, které obsahem odpovídají kořenovým adresářům disků C: a D:, takže nemusíte být žádný hacker, abyste se na takovém systému dostali k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče:

       

http://IpAddress/c/winnt/system32/cmd.exe?/c+dir

Je zřejmé, že w32.CodeRed.C je tak potenciálně mnohem nebezpečnější, než jeho jmenovitý předchůdce. Mainstreamová média, proto které původní červ představoval potenciální apokalypsu „zpomalením“ Internetu prostřednictvím DDoS (Distributed Denial-of-Service) útoků a tak možný lék na akutní okurkovou sezónu, zatím mlčí (v Mladé frontě Dnes byla krátká zprávička). Přitom při použití kupříkladu podobného dálkového ovladače si následně s napadeným systémem můžete dělat v podstatě cokoli. K odstranění w32.CodeRed.C by teoreticky mělo stačit vymazání souboru root.exe z adresářů scripts a MSADC na obou výše zmíněných discích a současně vymazání souboru explorer.exe z jejich kořenových adresářů. Aktuální záplata pro software Microsoft IIS se pak nachází tady.