Skoči na vsebino

SI-CERT 2001-04 / “Code Red” črv

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 in Windows 2000 z nameščenim IIS 4.0 ali IIS 5.0.

Opis

SI-CERT je prejel več obvestil o hitrem širjenju črva z imenom "Code Red", ki izkorišča luknjo v IIS Indexing Service DLL knjižnici. Trenutne ocene kažejo na okužbo preko 200,000 sistemov in nadaljevanje širjenja. Črv se poskuša širiti tudi po slovenskih delih omrežja.

Napad črva "Code Red" vsebuje naslednje korake:

  • preveri dostopnost porta 80 na ciljnem sistemu (HTTP servis)
  • pošlje posebno HTTP GET zahtevo, ki izrablja luknjo v IIS Indexing Service DLL knjižnici, ki je opisana v CERT/CC CA-2001-13 obvestilu
  • če je luknja prisotna, se črv zažene na napadenem sistemu
  • preveri, ali obstaja datoteka c: otworm – če ta obstaja, črv prekine svoje izvajanje
  • drugače črv zažene 100 procesnih niti, ki začnejo pregledovati obstoj porta 80 na naključnih IP naslovih z namenom samodejnega širjenja črva
  • če je privzeti jezik na sistemu angleški, črv po 100 zagnanih procesnih nitih in po preteku določenega časa spremeni funkcionalnist spletnega strežnika tako, da za vsako zahtevo vrne sporočilo:
     

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

     
    ta tekst se nahaja v pomnilniku sistema – spletne strani na disku ostanejo nespremenjene

  • če privzeti jezik ni angleščina, črv ne spremeni spletnih strani, vendar se vseeno poskuša širiti na druge sisteme
  • če je dan v mesecu večji od 19, potem niti namesto iskanja ranljivih sistemov poplavijo s podatki strežnik www.whitehouse.gov.

Poskus širjenja na sistem lahko opazimo v zapisih spletnega strežnika kot zahtevo oblike:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

CodeRed II uporablja namesto znaka N znak X, koda, ki sledi pa je podobna.

Ukrepanje

Dodatne informacije

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več