Skoči na vsebino
Varnostna obvestila /

SI-CERT 2001-04 / “Code Red” črv

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 in Windows 2000 z nameščenim IIS 4.0 ali IIS 5.0.

Opis

SI-CERT je prejel več obvestil o hitrem širjenju črva z imenom "Code Red", ki izkorišča luknjo v IIS Indexing Service DLL knjižnici. Trenutne ocene kažejo na okužbo preko 200,000 sistemov in nadaljevanje širjenja. Črv se poskuša širiti tudi po slovenskih delih omrežja.

Napad črva "Code Red" vsebuje naslednje korake:

  • preveri dostopnost porta 80 na ciljnem sistemu (HTTP servis)
  • pošlje posebno HTTP GET zahtevo, ki izrablja luknjo v IIS Indexing Service DLL knjižnici, ki je opisana v CERT/CC CA-2001-13 obvestilu
  • če je luknja prisotna, se črv zažene na napadenem sistemu
  • preveri, ali obstaja datoteka c: otworm – če ta obstaja, črv prekine svoje izvajanje
  • drugače črv zažene 100 procesnih niti, ki začnejo pregledovati obstoj porta 80 na naključnih IP naslovih z namenom samodejnega širjenja črva
  • če je privzeti jezik na sistemu angleški, črv po 100 zagnanih procesnih nitih in po preteku določenega časa spremeni funkcionalnist spletnega strežnika tako, da za vsako zahtevo vrne sporočilo:
     

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

     
    ta tekst se nahaja v pomnilniku sistema – spletne strani na disku ostanejo nespremenjene

  • če privzeti jezik ni angleščina, črv ne spremeni spletnih strani, vendar se vseeno poskuša širiti na druge sisteme
  • če je dan v mesecu večji od 19, potem niti namesto iskanja ranljivih sistemov poplavijo s podatki strežnik www.whitehouse.gov.

Poskus širjenja na sistem lahko opazimo v zapisih spletnega strežnika kot zahtevo oblike:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

CodeRed II uporablja namesto znaka N znak X, koda, ki sledi pa je podobna.

Ukrepanje

Dodatne informacije

Preberite tudi

Varnostna obvestila /

SI-CERT 2024-04 / Kritična ranljivost v PAN-OS

Kritična ranljivost CVE-2024-3400 sistema PAN-OS omogoča oddaljeno izvajanje poljubne kode s pravicami root uporabnika.
Več
Varnostna obvestila /

SI-CERT 2024-03 / Kraje sredstev iz mobilnih bank preko okužbe z virusom Anatsa

Zlonamerne aplikacije, ki so bile na voljo v Google Play trgovini, omogočajo krajo sredstev iz mobilnih bank.
Več
Varnostna obvestila /

SI-CERT 2024-02 / Kritične ranljivosti v FortiOS

Fortinet je 8.2.2024 izdal obvestili o dveh kritičnih ranljivostih CVE-2024-21762 in CVE-2024-23113 sistema FortiOS sslvpnd in fgfmd.
Več