Данная статья не призывает к каким-либо противоправным действиям, а изложена исключительно в ознакомительных и развлекательных целях.
Поведение вируса
Codered загружался на сервер как запрос GET /default.ida на порт TCP 80. Запрос содержит код, который использовал уязвимость переполнения буфера в программном обеспечении индексирования в Internet Information Server (IIS) Microsoft, позволяя червю запускать код изнутри сервера IIS. Червь работал полностью в памяти и его было почти невозможно обнаружить на диске. Он составлял всего 3569 байт.
Используя API CreateThread, червь пытался создать 100 копий самого себя, но из-за ошибки в его коде он мог создавать гораздо больше. Из-за этого зараженные компьютеры имели высокую нагрузку на ЦП. Каждый из потоков проверял файл, C: \ Notworm. Если файл существовал, червь не запускался, и поток переходит в бесконечное состояние ожидания. Есть мнение, что этот файл существовал лишь на компьютерах автора вируса, чтобы предотвратить заражение его устройств.
Далее вирус работал по следующему алгоритму:
Если текущая дата находилась в диапазоне 20-28 числа любого месяца, то червь отправлял нежелательные данные на порт 80 на 198.137.240.91, а затем на IP-адрес whitehouse.gov. После 28-го числа он переходил в спящий режим .
Если дата предшествовала 20-му числу месяца, то следующие 99 потоков пытались задействовать как можно больше компьютеров, ориентируясь на случайные IP-адреса. Чтобы избежать повторного обращения к заражению исходного компьютера, червь не отправлял HTTP-запросы на IP-адреса 127. *. *. *. Если языком по умолчанию на компьютере является английский, дальнейшие потоки приводили к тому, что веб-страницы выглядели искаженными. Поток В этом случае спал в течение двух часов, а затем перехватывал функцию, которая отвечала на HTTP-запросы. Вместо того, чтобы возвращать правильную веб-страницу, червь возвращал свой собственный HTML-код.
100-й поток червя проверял язык локальной страницы сервера. Если язык являлся английским, то червь менял страницу, добавляя при этом тектсовую строку Welcome to worm.com Hacked by Chinese!.
Червь пытался подключиться к TCP-порту 80 на случайно выбранном хосте, предполагая, что будет найден веб-сервер. После успешного соединения с портом 80 атакующий узел отправлял обработанный HTTP-запрос GET жертве, пытаясь использовать переполнение буфера в службе индексирования.
Оригинальный червь CodeRed прекратил распространение в 2001.07.28, перейдя в «Бесконечный режим сна».
Ущерб
Code Red заразил от 1-2 млн. компьютеров и привел к тому, что затраты только на очистку составили 2,75 млрд.
CodeRed также инициировал DDoS атаку на Белый дом. Те все компьютеры, зараженные CodeRed, пытались одновременно связаться с веб-серверами в Белом доме, перегружая их.
Вариации вируса
1) CodeRed.II очень похож на оригинал с основным отличием. В этом варианте появляется троян VirtualRoot, который производил взлом сервера и позволял управлять им.
2) Codegreen - это анти-червь. Он удалял Codered и загружает исправление Microsoft, которое устраняло уязвимость, позволяющую распространяться Codered. После чего отображалось сообщение:
Des HexXer's CodeGreen V1.0 beta
CodeGreen has entered your system
it tried to patch your system and
to remove CodeRedII's backdoors
You may uninstall the patch via
SystemPanel/Sofware: Windows 2000 Hotfix [Q300972]
get details at "www.microsoft.com".
visit "www.buha-security.de"
Факты
Считается, что название CodeRed - это отсылка к разновидности лимонада "Mountain Dew" "CodeRed".
ФБР посчитали вирус способным, если не положить, то снизить весь интернет из-за увеличения трафика от сканирования.
Фраза «взломано китайцами!» стало в интернете клише и использовалась при поражении геймерами в различных оналйн-играх и мемах:)