.ida Code Red -- Rudé horko

Minulý měsíc se neobyčejně dařilo nejrůznějším počítačovým virům – nejdříve W32/SirCam@mm a nyní .ida Code Red. Pořadí by však mělo být spíše obrácené, protože druhý jmenovaný si svých „15 minut slávy“ prožil již počátkem července, kdy začal napadat bezpečnostní chybu .ida v produktech Microsoft Internet Information Server (IIS) a později útočil na internetové stránky Bílého domu a Pentagonu. Včera se díky společné tiskové konferenci FBI a společnosti Microsoft probudila i naše média, takže kupříkladu v Mladé frontě DNES jste si mohli přečíst, že Virus chce zpomalit Internet apod. Pravdou je, že .ida Code Red je mimořádně adresivní a pravděpodobně nejrychleji se šířící virus současnoti. Podle výpočtů eEye Digital Security dokáže infikovat asi 500.000 počíta­čů denně.

.ida Code Red napadá produkty Microsoft IIS verze 4.0 a 5.0 na portu 80. Následně virus vytvoří 100 vlastních kopií, z nichž prvních 99 je odesláno na náhodně vygenerované IP adresy. Po infikování se na 10 hodin na serveru umístěná webová stránka přepíše do následující podoby: „Welcome to http://www.wor­m.com!, hacked by Chinese!“ K této změně ovšem dojde pouze v systémech s nastavením English (US). IP adresy jsou generovány prostřednictvím generátoru náhodných čísel. .ida Code Red je naprogramován tak, aby se od 1. do 19. daného měsíce neškodně šířil na další servery a od 20. do 27. posílal na IP adresu webu www.whitehouse.gov (případně dalších amerických institucí) pakety o velikosti 100 kB (tj. přibližně 100 MB každou hodinu). Za začátku následujícího měsíce nastává „období klidu“.

Administrátoři internetových stránek www.whitehouse.gov sice na virus vyzráli přesunutím webu na jinou IP adresu, čímž útok DDoS (Distributed Denial of Service) odvrátili, nicméně v oběhu již je mutace .ida Code Red, která používá k získání IP adresy serveru DNS. Samotné šíření viru s sebou nese i další bezpečností rizika – seznamy IP adres budoucích obětí jsou sice vytvářeny generátorem náhodných čísel, tento generátor má ovšem v původní variantě infekce pevně daný základ, což znamená, že IP adresy jsou sice vygenerovány náhodně, jejich sekvence se však opakují. Z tohoto důvodu jednak dochází k neustálé „reinfekci“ Microsoft IIS a jednak geometrickou řadou roste počet požadavků na spojení na portu 80, čímž může dojít ke kolapsu.

V oběhu jsou momentálně minimálně tři varianty .ida Code Red, z nichž jedna obsahuje generátor IP adres s pevným základem a ostatní generátor IP adres s náhodným základem, takže se teoreticky mohou šířit rychleji a na více počítačů. V zatím blíže nespecifikovaných případech se rovněž virus přestane chovat „standardním“ způsobem a namísto toho neustále vyrábí nové a nové kopie sama sebe, čímž dříve nebo později dochází ke zhroucení celého systému. .ida Code Red napadá vyjma Microsoft IIS také operační systémy Windows NT a Windows 2000, které – ač nejsou používány jako servery – často obsahují aplikace, které Microsoft IIS ke své činnosti potřebují. Velmi jednoduše se dá tato skutečnost ověřit v „Task Manageru“ existencí či neexistencí souboru  inetinfo.exe.

Záhadou v tomto okamžiku zůstává původní varianta viru, která obsahovala generátor náhodných IP adres s pevně stanoveným základem. Jedno z možných vysvětlení by mohlo být následující – pokud se IP adresa tvůrce viru nachází mezi prvními stovkami či tisícovkami scannovaných, snadno by mohl vytvořit seznam serverů (resp. jejich IP adres), které byly .ida Code Red úspěšně infikovány. Co se s takovým seznamem dá všechno dělat je nasnadě – minimálně máte po celém světě tisíce počítačů připravených k útoku. Pro libovolnou akci tak stačí pouze updatovat verzi již „zabydleného“ viru. Celková hysterie, která kolem celého .ida Code Red vypukla však není dána touto alarmující skutečností, jako spíše prostým faktem, že dnes je 1. srpna a virus by se měl začít znovu šířit.