Code Red: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
(Показать все непатрулированные изменения)
[отпатрулированная версия][отпатрулированная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Нет описания правки
Нет описания правки
Строка 9: Строка 9:
|}}
|}}


'''Code Red''' — [[компьютерный вирус]], представляющий собой [[сетевой червь]], выпущенный в сеть [[13 июля]] [[2001 год]]а. Он атаковал компьютеры с работающим [[веб-сервер]]ом [[Microsoft]] [[IIS]], после успешного заражения начинал [[DoS-атака|DoS-атаку]] на веб-страницу ''whitehouse.gov''<ref name=crime>{{книга
'''Code Red''' — [[компьютерный вирус]], представляющий собой многовекторный [[сетевой червь]], выпущенный в сеть [[13 июля]] [[2001 год]]а. Он атаковал компьютеры с работающим [[веб-сервер]]ом [[Microsoft]] [[IIS]], после успешного заражения начинал [[DoS-атака|DoS-атаку]] на веб-страницу ''whitehouse.gov''{{sfn|Fisk|2009|p=124}}{{sfn|Boulanger, Ghosh|2010|loc=Code Red|p=58—59}}

| автор = Nathan Fisk
.
| часть = Malware Incidents
| ссылка часть =
| заглавие = Encyclopedia of Cybercrime
| оригинал =
| ссылка =
| викитека =
| ответственный = Samuel C. McQuade, III
| издание =
| место = London
| издательство = Greenwood Press
| год = 2009
| volume =
| pages = 124
| columns =
| allpages =
| серия =
| isbn = 978-0-313-33974-5
| doi =
| тираж =
| ref =
}}</ref>.


Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании [[eEye Digital Security]]. Они также дали вирусу название — намёк на вид напитка [[Mountain Dew]] и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на [[Коммунистическая партия Китая|коммунистический Китай]], хотя в действительности вирус скорее всего был написан этническими китайцами на [[Филиппины|Филиппинах]]. Этой фразой червь заменял содержимое [[веб-сайт]]ов на заражённом [[сервер (аппаратное обеспечение)|сервере]].
Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании [[eEye Digital Security]]. Они также дали вирусу название — намёк на вид напитка [[Mountain Dew]] и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на [[Коммунистическая партия Китая|коммунистический Китай]], хотя в действительности вирус скорее всего был написан этническими китайцами на [[Филиппины|Филиппинах]]. Этой фразой червь заменял содержимое [[веб-сайт]]ов на заражённом [[сервер (аппаратное обеспечение)|сервере]].
Строка 43: Строка 23:
* Спустя 20-27 дней после заражения начать [[DoS-атака|DoS-атаку]] на несколько IP-адресов, один из которых принадлежал [[США|американскому]] [[Белый дом|Белому дому]].
* Спустя 20-27 дней после заражения начать [[DoS-атака|DoS-атаку]] на несколько IP-адресов, один из которых принадлежал [[США|американскому]] [[Белый дом|Белому дому]].


Уязвимость, используемая червем, основана на [[переполнение буфера|переполнении буфера]]. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал [[пакет]]ы с [[эксплойт]]ом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного [[сетевой трафик|трафика]], перегружая сети и делая присутствие червя практически очевидным для администраторов.
Уязвимость, используемая червем, основана на [[переполнение буфера|переполнении буфера]]. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал [[Пакет (сетевые технологии)|пакеты]] с [[эксплойт]]ом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного [[сетевой трафик|трафика]], перегружая сети и делая присутствие червя практически очевидным для администраторов. По известной только создателям вируса причине, он активно распространялся только с 1-го по 19-е число каждого месяца, уходя в «спячку» на инфицированных машинах в оставшееся время.


Даже в [[файл регистрации|логах]] сервера [[Apache HTTP Server|Apache]], на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:
Даже в [[файл регистрации|логах]] сервера [[Apache HTTP Server|Apache]], на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:
Строка 65: Строка 45:
== Примечания ==
== Примечания ==
{{примечания}}
{{примечания}}

== Источники ==
* {{публикация|книга
| автор = A. Boulanger, S. Ghosh
| часть = Malicious Code
| ссылка часть =
| заглавие = Cybercrimes: A Multidisciplinary Analysis
| оригинал =
| ссылка =
| викитека =
| ответственный = S. Ghosh, E. Turrini
| издание =
| место =
| издательство = Springer
| год = 2010
| volume =
| pages =
| columns =
| allpages = 45-72
| серия =
| isbn = 978-3-642-13547-7
| doi = 10.1007/978-3-642-13547-7
| тираж =
| ref = Boulanger, Ghosh
}}
* {{публикация|книга
| автор = N. Fisk
| часть = Malware Incidents
| ссылка часть =
| заглавие = Encyclopedia of Cybercrime
| оригинал =
| ссылка =
| викитека =
| ответственный = Samuel C. McQuade, III
| издание =
| место = London
| издательство = Greenwood Press
| год = 2009
| volume =
| pages = 124
| columns =
| allpages =
| серия =
| isbn = 978-0-313-33974-5
| doi =
| тираж =
| ref = Fisk
}}


== Ссылки ==
== Ссылки ==

Версия от 03:21, 6 ноября 2018

Code Red
Полное название (Касперский) Net-Worm.Win32.CodeRed.a
Тип Сетевой червь
Год появления 2001
Используемое ПО MS IIS
Описание Symantec

Code Red — компьютерный вирус, представляющий собой многовекторный сетевой червь, выпущенный в сеть 13 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS, после успешного заражения начинал DoS-атаку на веб-страницу whitehouse.gov[1][2]

.

Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании eEye Digital Security. Они также дали вирусу название — намёк на вид напитка Mountain Dew и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на коммунистический Китай, хотя в действительности вирус скорее всего был написан этническими китайцами на Филиппинах. Этой фразой червь заменял содержимое веб-сайтов на заражённом сервере.

Червь использовал уязвимость в утилите индексирования, которая поставлялась с веб-сервером Microsoft IIS. Эта уязвимость была описана вендором — Microsoft — на их сайте MS01-033 (англ.); кроме того, за месяц до эпидемии было выпущено соответствующее обновление.

Полезная нагрузка червя позволяла ему делать следующее:

  • Заменять содержимое страниц на поражённом сайте на следующую фразу:

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

  • Сканировать и пробовать новые жертвы с IIS, генерируя IP-адреса по определённому алгоритму
  • Спустя 20-27 дней после заражения начать DoS-атаку на несколько IP-адресов, один из которых принадлежал американскому Белому дому.

Уязвимость, используемая червем, основана на переполнении буфера. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал пакеты с эксплойтом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного трафика, перегружая сети и делая присутствие червя практически очевидным для администраторов. По известной только создателям вируса причине, он активно распространялся только с 1-го по 19-е число каждого месяца, уходя в «спячку» на инфицированных машинах в оставшееся время.

Даже в логах сервера Apache, на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Эксперты eEye утверждают, что червь начал распространение из Макати-Сити на Филиппинах. Вскоре, 4 августа 2001 года, начал распространяться новый червь Code Red II, код которого, несмотря на схожее название, был создан заново.

См. также

Примечания

  1. Fisk, 2009, p. 124.
  2. Boulanger, Ghosh, 2010, Code Red, p. 58—59.

Источники

  • A. Boulanger, S. Ghosh. Malicious Code // Cybercrimes: A Multidisciplinary Analysis / S. Ghosh, E. Turrini. — Springer, 2010. — 45-72 p. — ISBN 978-3-642-13547-7. — doi:10.1007/978-3-642-13547-7.
  • N. Fisk. Malware Incidents // Encyclopedia of Cybercrime / Samuel C. McQuade, III. — London : Greenwood Press, 2009. — P. 124. — ISBN 978-0-313-33974-5.

Ссылки

Источник — https://ru.wikipedia.org/w/index.php?title=Code_Red&oldid=96124810