1. srpen tohoto roku je zdárně za námi a médii předpovídaná apokalypsa, kterou měl způsobit počítačový červ .ida Code Red
, se nekonala. Přestože FBI NIPC a Microsoft uspořádali společnou tiskovou konferenci a v rámci šíření hysterie navíc obeslali výstražným dopisem všech 46 právních atašé FBI po celém světě. Přestože CNN pohotově informovala, že všichni uživatelé operačních systémů Windows jsou ve vážném nebezpečí a přestože americké U.S. Air Force z obavy před tímto jednoduchým počítačovým skriptem raději odpojily své počítače od Internetu a neopoměli o tomto kroku informovat média. Mladá fronta Dnes navíc vyjma článku Virus chce zpomalit Internet otiskla na titulní straně fotografii jako vystřiženou z „béčkového“ hororu. Virtuální temno nenastalo – konec Internetu se odládá.
Záhy došlo k předvídatelné události – kdosi využil úspěšného modelu a naprogramoval zbrusu nového červa, který podle textu vepsaného ve svém těle dostal označení w32.CodeRed.C
(resp. Code Red II, i když je v pořadí minimálně třetí), přestože s původním červem má pramálo společného, pouze funguje na obdobném principu. Využívá bezpečnostní chyby „.ida“ v softwaru Microsoft IIS verze 4.0 a 5.0, tentokrát ovšem pouze v kombinaci s operačním systémem Windows 2000. U Windows NT 4.0 způsobuje jen havárii počítače. w32.CodeRed.C
je navíc zaměřený především na čínské operační systémy – detekuje-li počítač s čínským jazykovým nastavením (standardním či zjednodušeným), snaží se rozeslat dvojnásobek vlastních kopií, tj. 600 namísto 300.
Jakmile se červ zabydlí v systému, zkontroluje datum na systémových hodinách a pokud je rok menší než 2002 a měsíc menší než 10, započne s šířením infekce. V opačném případě pouze restartuje počítač. IP adresy scannovaných počítačů jsou zcela náhodně generovány pouze v jednom z osmi případů – ve zbývajících sedmi se používá zajímavý algoritmus vycházející z předpokladu, že ISP přidělují IP adresy zákazníkům „za sebou“, takže pochází z určitých bloků. Červ se proto snaží vygenerovat IP adresy náležející do bloku totožného s napadeným počítačem, což zvyšuje jeho úspěšnost. Rovněž není bez zajímavosti, že w32.CodeRed.C
zcela ignoruje adresní rozsahy 127.x.x.x
a 224.x.x.x
. Jeho další činnost se zaměřuje výhradně na kompromitování systému.
Do virtuálních adresářů scripts
a MSADC
je nakopírován soubor root.exe
, což je vlastně pouze přejmenovaný cdm.exe
, který zabezpečuje přístup k systému. Jakmile se tento krok provede pro disk C:
, následuje stejný postup u disku D:
. V kořenovém adresáři obou disků se vytvoří soubor explorer.exe
, který se díky relativní cestě ke stejnojmennému souboru (jež se stará kupříkladu o pracovní plochu apod.) spustí po přihlášení do systému jako první a až následně je spuštěn skutečný explorer.exe
. Při každém spuštění počítače se tak vytvoří virtuální adresáře /c
a /d
, které obsahem odpovídají kořenovým adresářům disků C:
a D:
, takže nemusíte být žádný hacker, abyste se na takovém systému dostali k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče:
http://IpAddress/c/winnt/system32/cmd.exe?/c+dir
Je zřejmé, že w32.CodeRed.C
je tak potenciálně mnohem nebezpečnější, než jeho jmenovitý předchůdce. Mainstreamová média, proto které původní červ představoval potenciální apokalypsu „zpomalením“ Internetu prostřednictvím DDoS (Distributed Denial-of-Service) útoků a tak možný lék na akutní okurkovou sezónu, zatím mlčí (v Mladé frontě Dnes byla krátká zprávička). Přitom při použití kupříkladu podobného dálkového ovladače si následně s napadeným systémem můžete dělat v podstatě cokoli. K odstranění w32.CodeRed.C
by teoreticky mělo stačit vymazání souboru root.exe
z adresářů scripts
a MSADC
na obou výše zmíněných discích a současně vymazání souboru explorer.exe
z jejich kořenových adresářů. Aktuální záplata pro software Microsoft IIS se pak nachází tady.