Hlavní navigace

.ida Code Red -- Rudé horko

Mirek Zeman 1. 8. 2001

Minulý měsíc se počítačovým virům neobyčejně dařilo -- nejdříve W32/SirCam@mm a nyní .ida Code Red -- zřejmě nejagresivnější a nejrychleji se šířící počítačový virus současnosti. Více alarmující ovšem je, že zde pravděpodobě vzniká jakýsi "blacklist" IP adres serverů, na kterých již je .ida Code Red zabydlen.

Minulý měsíc se neobyčejně dařilo nejrůznějším počítačovým virům – nejdříve W32/SirCam@mm a nyní .ida Code Red. Pořadí by však mělo být spíše obrácené, protože druhý jmenovaný si svých „15 minut slávy“ prožil již počátkem července, kdy začal napadat bezpečnostní chybu .ida v produktech Microsoft Internet Information Server (IIS) a později útočil na internetové stránky Bílého domu a Pentagonu. Včera se díky společné tiskové konferenci FBI a společnosti Microsoft probudila i naše média, takže kupříkladu v Mladé frontě DNES jste si mohli přečíst, že Virus chce zpomalit Internet apod. Pravdou je, že .ida Code Red je mimořádně adresivní a pravděpodobně nejrychleji se šířící virus současnoti. Podle výpočtů eEye Digital Security dokáže infikovat asi 500.000 počíta­čů denně.

.ida Code Red napadá produkty Microsoft IIS verze 4.0 a 5.0 na portu 80. Následně virus vytvoří 100 vlastních kopií, z nichž prvních 99 je odesláno na náhodně vygenerované IP adresy. Po infikování se na 10 hodin na serveru umístěná webová stránka přepíše do následující podoby: „Welcome to http://www.wor­m.com!, hacked by Chinese!“ K této změně ovšem dojde pouze v systémech s nastavením English (US). IP adresy jsou generovány prostřednictvím generátoru náhodných čísel. .ida Code Red je naprogramován tak, aby se od 1. do 19. daného měsíce neškodně šířil na další servery a od 20. do 27. posílal na IP adresu webu www.whitehouse.gov (případně dalších amerických institucí) pakety o velikosti 100 kB (tj. přibližně 100 MB každou hodinu). Za začátku následujícího měsíce nastává „období klidu“.

Administrátoři internetových stránek www.whitehouse.gov sice na virus vyzráli přesunutím webu na jinou IP adresu, čímž útok DDoS (Distributed Denial of Service) odvrátili, nicméně v oběhu již je mutace .ida Code Red, která používá k získání IP adresy serveru DNS. Samotné šíření viru s sebou nese i další bezpečností rizika – seznamy IP adres budoucích obětí jsou sice vytvářeny generátorem náhodných čísel, tento generátor má ovšem v původní variantě infekce pevně daný základ, což znamená, že IP adresy jsou sice vygenerovány náhodně, jejich sekvence se však opakují. Z tohoto důvodu jednak dochází k neustálé „reinfekci“ Microsoft IIS a jednak geometrickou řadou roste počet požadavků na spojení na portu 80, čímž může dojít ke kolapsu.

V oběhu jsou momentálně minimálně tři varianty .ida Code Red, z nichž jedna obsahuje generátor IP adres s pevným základem a ostatní generátor IP adres s náhodným základem, takže se teoreticky mohou šířit rychleji a na více počítačů. V zatím blíže nespecifikovaných případech se rovněž virus přestane chovat „standardním“ způsobem a namísto toho neustále vyrábí nové a nové kopie sama sebe, čímž dříve nebo později dochází ke zhroucení celého systému. .ida Code Red napadá vyjma Microsoft IIS také operační systémy Windows NT a Windows 2000, které – ač nejsou používány jako servery – často obsahují aplikace, které Microsoft IIS ke své činnosti potřebují. Velmi jednoduše se dá tato skutečnost ověřit v „Task Manageru“ existencí či neexistencí souboru  inetinfo.exe.

Záhadou v tomto okamžiku zůstává původní varianta viru, která obsahovala generátor náhodných IP adres s pevně stanoveným základem. Jedno z možných vysvětlení by mohlo být následující – pokud se IP adresa tvůrce viru nachází mezi prvními stovkami či tisícovkami scannovaných, snadno by mohl vytvořit seznam serverů (resp. jejich IP adres), které byly .ida Code Red úspěšně infikovány. Co se s takovým seznamem dá všechno dělat je nasnadě – minimálně máte po celém světě tisíce počítačů připravených k útoku. Pro libovolnou akci tak stačí pouze updatovat verzi již „zabydleného“ viru. Celková hysterie, která kolem celého .ida Code Red vypukla však není dána touto alarmující skutečností, jako spíše prostým faktem, že dnes je 1. srpna a virus by se měl začít znovu šířit.

Našli jste v článku chybu?

3. 8. 2001 16:45

Vaclav Kabat (neregistrovaný)
Jinak diskuze s vami je samozrejme poteseni.. neznam nic o vasem technickem zazemi atd..

jinak pokud chcete abych uznal argument ze vse co dela MS je spatne neudelam to, ale stejne tak nerikam, ze vse co dela MS je super.. ale nejdriv sbiram podklady a sam si to vse vyzkousim..

ostatne, zrovna ted uz dva dny nadavam nad DOM implementaci u IE5, stejne tak ale NN6
a to by jste mel slysel kolegu vedle, ten je odchovany Visual C++

tak to za prve.
za druhe.. ja bohuzel delam za penize, v p…







3. 8. 2001 14:13

MilanH (neregistrovaný)
Investovat cas do diskusi s p. Kabatem je vskutku hloupost :-)) On je tak pruzny, ze vse co prohlasite nakonec obrati proti vam :-) - no vzdyt jo - prece neprojevujete jeho jedinou spravnou viru...A tak vas vzdy povysene pouci... Je roztomily.
Jinak myslim, ze poslednich par mesicu vypovida o bezpecnosti reseni Webu na IIS/NT/2000 vice nez dostatecne. Nekteri lide jsou, bohuzel, nepoucitelni a radeji nez by mysleli, nechavaji za sebe neprimo rozhodovat marketingove specialisty :-))
120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky