Izberite jezik

SI-CERT 2001-04 / “Code Red” črv

20.07.2001

Tipi ranljivih sistemov

Sistemi z operacijskim sistemom Microsoft Windows NT 4.0 in Windows 2000 z nameščenim IIS 4.0 ali IIS 5.0.

Opis

SI-CERT je prejel več obvestil o hitrem širjenju črva z imenom "Code Red", ki izkorišča luknjo v IIS Indexing Service DLL knjižnici. Trenutne ocene kažejo na okužbo preko 200,000 sistemov in nadaljevanje širjenja. Črv se poskuša širiti tudi po slovenskih delih omrežja.

Napad črva "Code Red" vsebuje naslednje korake:

  • preveri dostopnost porta 80 na ciljnem sistemu (HTTP servis)
  • pošlje posebno HTTP GET zahtevo, ki izrablja luknjo v IIS Indexing Service DLL knjižnici, ki je opisana v CERT/CC CA-2001-13 obvestilu
  • če je luknja prisotna, se črv zažene na napadenem sistemu
  • preveri, ali obstaja datoteka c: otworm – če ta obstaja, črv prekine svoje izvajanje
  • drugače črv zažene 100 procesnih niti, ki začnejo pregledovati obstoj porta 80 na naključnih IP naslovih z namenom samodejnega širjenja črva
  • če je privzeti jezik na sistemu angleški, črv po 100 zagnanih procesnih nitih in po preteku določenega časa spremeni funkcionalnist spletnega strežnika tako, da za vsako zahtevo vrne sporočilo:
     

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

     
    ta tekst se nahaja v pomnilniku sistema – spletne strani na disku ostanejo nespremenjene

  • če privzeti jezik ni angleščina, črv ne spremeni spletnih strani, vendar se vseeno poskuša širiti na druge sisteme
  • če je dan v mesecu večji od 19, potem niti namesto iskanja ranljivih sistemov poplavijo s podatki strežnik www.whitehouse.gov.

Poskus širjenja na sistem lahko opazimo v zapisih spletnega strežnika kot zahtevo oblike:

/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%
u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531
b%u53ff%u0078%u0000%u00=a

CodeRed II uporablja namesto znaka N znak X, koda, ki sledi pa je podobna.

Ukrepanje

Dodatne informacije