Недавно цифровой мир отмечал знаменательную дату - рождение и расцвет Code Red. Что это? Самый известный сетевой червь в мире.
С вами канал “Цифровое просвещение”! Здесь трём за все, что связано с IT-сферой. И, да, у нас есть печеньки. Так что, велком на темную сторону!
Не мудрствуя лукаво
Утро 15 июля 2011 года стало знаковым для сотрудников компании eEye Digital Security Марка Мэифрета, Райана Перми и Райли Хассела. В руках у парней из отдела по кибербезопасности как раз была газировочка Code Red Mountain Dew, когда телефоны и электронная почта компании стали “разрываться” от многочисленных звонков клиентов, которые стали жертвами неизвестного сетевого червя. Лучшего решение, как назвать новую напасть “Code Red” специалисты не придумали. И уже через пару дней вирус “Code Red” захватил Инет.
Чуть позже стало понятно, что заражение произошло на пару дней раньше - 13 июля 2001 года. Червь проник через уязвимость веб-сервера Internet Informatiom Server. А ведь еще за месяц (!!!) до часа Х Microsoft разработала “заплатку” для этой прорехи, но сисадмины это дружно проигнорировали. Как оказалось, зря. Именно разгильдяйство послужило феноменальному успеху “Code Red”.
Технология заражения была следующей:
- Червь находил уязвимость в библиотеке idq.dll, находившуюся в службе индексирования Windows 2000 Server.
- Далее шла обработка административных скриптов (с расширением .ida) и файлов запросов данных — Internet Data Queries (*.idq).
- После этого в модуле обработки входящих URL-запросов возникала ошибка переполнения буфера и выполнение на сервере произвольного кода.
- Червь коннектил HTTP-портом 80 на ПК со случайно выбранным IP-адресом и отправлял туда GET- запрос.
Выглядело зловредное послание так:
/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff[…] HTTP/1.0
Зверюге было все равно на стабильность соединения, она не содержала и не требовала исполняемых файлов, не соединялась с управляющем сервером. Просто выполнение кода из GET-запроса и тотальное заражение сервака. Все!
При этом после поражения особенно американцам было “приятно” было увидеть следующую надпись:
«HELLO! Welcome to www.worm.com! Hacked By Chinese!».
“Привет! Добро пожаловать на www.worm.com! Взломано китайскими хакерами!”
Любопытная активность червя
Вирус действовал очень любопытно:
- c 1 по 19 число - шло самораспространение через доступные интернет-сервера. В этих целях червь создавал 99 параллельных потоков со списком потенциальных жертв.
- с 20 по 27 программа жестко формировала DDoS-атаки по списку приоритетных целей, включая Белый дом.
- с 28 числа был отдых.
К 19 июля 2001 года было заражено 359 000 серваков по всему миру. Лишь с глобальной установкой “заплатки” от Microsoft эпидемия пошла на спад. Чуть позже появилась версия с GET-запросом с символом “X” вместо “N”, но это уже другая история.
Мораль? Первое, своевременно устанавливайте патчи. Второе, по чистой случайности хакеры использовали возможности червя без последствий в виде уничтожения информации, блокировки веб-ресурсов и прочей гадости.
Всем высоких скоростей и удачи!
А у нас есть еще пара тройка статей на тему вирусов. Читайте, просвещайтесь!)))
Buhtrap, троян-долгожитель
Легальный мобильный... троян
Вирус-вымогатель Magniber и поддельные обновления Windows
Petya, от которого НАДО бежать подальше