Code Red: различия между версиями
[отпатрулированная версия] | [отпатрулированная версия] |
Нет описания правки |
Нет описания правки |
||
Строка 9: | Строка 9: | ||
|}} |
|}} |
||
'''Code Red''' — [[компьютерный вирус]], представляющий собой [[сетевой червь]], выпущенный в сеть [[13 июля]] [[2001 год]]а. Он атаковал компьютеры с работающим [[веб-сервер]]ом [[Microsoft]] [[IIS]], после успешного заражения начинал [[DoS-атака|DoS-атаку]] на веб-страницу ''whitehouse.gov'' |
'''Code Red''' — [[компьютерный вирус]], представляющий собой многовекторный [[сетевой червь]], выпущенный в сеть [[13 июля]] [[2001 год]]а. Он атаковал компьютеры с работающим [[веб-сервер]]ом [[Microsoft]] [[IIS]], после успешного заражения начинал [[DoS-атака|DoS-атаку]] на веб-страницу ''whitehouse.gov''{{sfn|Fisk|2009|p=124}}{{sfn|Boulanger, Ghosh|2010|loc=Code Red|p=58—59}} |
||
⚫ | |||
. |
|||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
⚫ | |||
}}</ref>. |
|||
Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании [[eEye Digital Security]]. Они также дали вирусу название — намёк на вид напитка [[Mountain Dew]] и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на [[Коммунистическая партия Китая|коммунистический Китай]], хотя в действительности вирус скорее всего был написан этническими китайцами на [[Филиппины|Филиппинах]]. Этой фразой червь заменял содержимое [[веб-сайт]]ов на заражённом [[сервер (аппаратное обеспечение)|сервере]]. |
Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании [[eEye Digital Security]]. Они также дали вирусу название — намёк на вид напитка [[Mountain Dew]] и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на [[Коммунистическая партия Китая|коммунистический Китай]], хотя в действительности вирус скорее всего был написан этническими китайцами на [[Филиппины|Филиппинах]]. Этой фразой червь заменял содержимое [[веб-сайт]]ов на заражённом [[сервер (аппаратное обеспечение)|сервере]]. |
||
Строка 43: | Строка 23: | ||
* Спустя 20-27 дней после заражения начать [[DoS-атака|DoS-атаку]] на несколько IP-адресов, один из которых принадлежал [[США|американскому]] [[Белый дом|Белому дому]]. |
* Спустя 20-27 дней после заражения начать [[DoS-атака|DoS-атаку]] на несколько IP-адресов, один из которых принадлежал [[США|американскому]] [[Белый дом|Белому дому]]. |
||
Уязвимость, используемая червем, основана на [[переполнение буфера|переполнении буфера]]. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал [[ |
Уязвимость, используемая червем, основана на [[переполнение буфера|переполнении буфера]]. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал [[Пакет (сетевые технологии)|пакеты]] с [[эксплойт]]ом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного [[сетевой трафик|трафика]], перегружая сети и делая присутствие червя практически очевидным для администраторов. По известной только создателям вируса причине, он активно распространялся только с 1-го по 19-е число каждого месяца, уходя в «спячку» на инфицированных машинах в оставшееся время. |
||
Даже в [[файл регистрации|логах]] сервера [[Apache HTTP Server|Apache]], на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы: |
Даже в [[файл регистрации|логах]] сервера [[Apache HTTP Server|Apache]], на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы: |
||
Строка 65: | Строка 45: | ||
== Примечания == |
== Примечания == |
||
{{примечания}} |
{{примечания}} |
||
== Источники == |
|||
* {{публикация|книга |
|||
| автор = A. Boulanger, S. Ghosh |
|||
| часть = Malicious Code |
|||
⚫ | |||
| заглавие = Cybercrimes: A Multidisciplinary Analysis |
|||
⚫ | |||
⚫ | |||
⚫ | |||
| ответственный = S. Ghosh, E. Turrini |
|||
⚫ | |||
| место = |
|||
| издательство = Springer |
|||
| год = 2010 |
|||
⚫ | |||
| pages = |
|||
⚫ | |||
| allpages = 45-72 |
|||
⚫ | |||
| isbn = 978-3-642-13547-7 |
|||
| doi = 10.1007/978-3-642-13547-7 |
|||
⚫ | |||
| ref = Boulanger, Ghosh |
|||
}} |
|||
* {{публикация|книга |
|||
⚫ | |||
⚫ | |||
| ссылка часть = |
|||
⚫ | |||
| оригинал = |
|||
| ссылка = |
|||
| викитека = |
|||
⚫ | |||
| издание = |
|||
⚫ | |||
⚫ | |||
⚫ | |||
| volume = |
|||
⚫ | |||
| columns = |
|||
⚫ | |||
| серия = |
|||
⚫ | |||
⚫ | |||
| тираж = |
|||
⚫ | |||
}} |
|||
== Ссылки == |
== Ссылки == |
Версия от 03:21, 6 ноября 2018
Эту страницу в данный момент активно редактирует участник WikiCyberMan. |
Code Red | |
---|---|
Полное название (Касперский) | Net-Worm.Win32.CodeRed.a |
Тип | Сетевой червь |
Год появления | 2001 |
Используемое ПО | MS IIS |
Описание Symantec |
Code Red — компьютерный вирус, представляющий собой многовекторный сетевой червь, выпущенный в сеть 13 июля 2001 года. Он атаковал компьютеры с работающим веб-сервером Microsoft IIS, после успешного заражения начинал DoS-атаку на веб-страницу whitehouse.gov[1][2]
.
Самое подробное и оперативное описание и анализ червя были сделаны специалистами компании eEye Digital Security. Они также дали вирусу название — намёк на вид напитка Mountain Dew и фразу-предупреждение в вирусе «Hacked By Chinese!» («Взломано китайцами!») — намёк на коммунистический Китай, хотя в действительности вирус скорее всего был написан этническими китайцами на Филиппинах. Этой фразой червь заменял содержимое веб-сайтов на заражённом сервере.
Червь использовал уязвимость в утилите индексирования, которая поставлялась с веб-сервером Microsoft IIS. Эта уязвимость была описана вендором — Microsoft — на их сайте MS01-033 (англ.); кроме того, за месяц до эпидемии было выпущено соответствующее обновление.
Полезная нагрузка червя позволяла ему делать следующее:
- Заменять содержимое страниц на поражённом сайте на следующую фразу:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Сканировать и пробовать новые жертвы с IIS, генерируя IP-адреса по определённому алгоритму
- Спустя 20-27 дней после заражения начать DoS-атаку на несколько IP-адресов, один из которых принадлежал американскому Белому дому.
Уязвимость, используемая червем, основана на переполнении буфера. Во время сканирования Code Red не проверял наличие IIS на новом компьютере-жертве, а просто посылал пакеты с эксплойтом по сети сгенерированному IP-адресу, в надежде что значительная часть разосланных таким достаточно неэффективным образом инфекций найдёт своих жертв. Подобный интенсивный способ сканирования приводил к огромным потокам мусорного трафика, перегружая сети и делая присутствие червя практически очевидным для администраторов. По известной только создателям вируса причине, он активно распространялся только с 1-го по 19-е число каждого месяца, уходя в «спячку» на инфицированных машинах в оставшееся время.
Даже в логах сервера Apache, на который, естественно, уязвимость IIS не распространялась, можно было обнаружить подобные запросы:
- GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
- NNNNNNNNNNNNNNNNNNN
- %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
- %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
- %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Эксперты eEye утверждают, что червь начал распространение из Макати-Сити на Филиппинах. Вскоре, 4 августа 2001 года, начал распространяться новый червь Code Red II, код которого, несмотря на схожее название, был создан заново.
См. также
Примечания
- ↑ Fisk, 2009, p. 124.
- ↑ Boulanger, Ghosh, 2010, Code Red, p. 58—59.
Источники
- A. Boulanger, S. Ghosh. Malicious Code // Cybercrimes: A Multidisciplinary Analysis / S. Ghosh, E. Turrini. — Springer, 2010. — 45-72 p. — ISBN 978-3-642-13547-7. — doi:10.1007/978-3-642-13547-7.
- N. Fisk. Malware Incidents // Encyclopedia of Cybercrime / Samuel C. McQuade, III. — London : Greenwood Press, 2009. — P. 124. — ISBN 978-0-313-33974-5.