Barbara, Borbála
-6 °C
3 °C

Elaludt a Code Red féreg

2001.08.01. 12:12
A várakozásokkal ellentétben a Code Red féregvírus jelenlegi hibernált állapotából már nem éled fel. A még a webszervereken szunnyadó tízezernyi féreg nem fog aktivizálódni, egyedül akkor indulna újra a terjedése, ha valaki szándékosan, a vírusírótól származó indítóprogrammal újra elindítaná a fertőzést. Erre pedig egyelőre semmi jel nem utal, a jelentések szerint sehol a világon nem észleltek számottevő Code Red-aktivitást.
Az interneten végigseprő Code Red IIS féreg nyomait először július 13-án észlelték. Pár nap alatt hihetetlen mértékben elterjedt, becslések szerint mintegy 300 ezer webszervert fertőzött meg, majd a hónap végén lecsengett az aktivitása.

A féregprogram a Microsoft IIS webszerverének június 18-án publikált biztonsági rését használja ki. Megfelelően összeállított kéréscsomaggal a védtelen rendszereken a Code Red magára tudja irányítani a végrehajtást. Csak olyan számítógépekre veszélyes, amelyeken ez a webszerver fut.

A Fehér Házat bombázza a program

A Code Rednek egy hónapos életciklusa van. A hónap első 19 napján igyekszik minél több gépre szétterjedni. A hónap 20. és 27. napja között DoS (Denial of Service) támadást intéz a www.whitehouse.gov web szervere ellen, megbombázva azt http csomagokkal. A hónap 28. napjától a féreg "hibernált" állapotba kerül, felfüggeszti aktivitását.

Szerencsére a DoS-támadás megfejtéséig már július 20-a előtt eljutottak, és mivel a Code Red fixen vitte magával a Fehér Ház webszerverének IP-címét, egyszerűen annak megváltoztatásával ki lehetett húzni a méregfogát.

Nem ébred fel az alvó féreg

A széles körben elterjedt véleményekkel szemben a féreg jelenlegi hibernált állapotából már nem éled fel. A még a webszervereken szunnyadó tízezernyi Code Red-példány nem fog aktivizálódni, egyedül akkor indulna újra a terjedése, ha valaki szándékosan, a vírusírótól származó indítóprogrammal újra elindítaná a fertőzést. Erre pedig egyelőre semmi jel nem utal, a ma befutott, pontosabban be nem futott jelentések szerint sehol a világon nem észleltek számottevő Code Red-aktivitást.

Mivel a Code Red a memóriába töltve végzi dolgát, nem menti ki magát a merevlemezre, és meg sem próbálja biztosítani rendszerindítás esetén az automatikus futtatását, eltávolítása igen egyszerűen, a Microsoft biztonsági javításának feltelepítésével és a szerver újraindításával történhet.

Több százmilliós károkat okozott a féreg

A Code Red által okozott károk becslése nem egyszerű. Ha azt vesszük, hogy százezres nagyságrendben kellett a webszervereket leállítani és azokra a biztonsági javítást feltelepíteni, akkor ez a rendszeradminisztrátorok órabérével számítva több száz millió dolláros nagyságrendet is megüthet. Azonban figyelembe kell venni azt is, hogy ezt a biztonsági javítást amúgy is fel kellett volna telepíteni (már egy hónapja!), tehát a rendszeradminisztrátorok csak a saját elmaradt munkájukat pótolják.

Forrás: VirusBuster

A féreg tevékenysége
A féregprogram a Microsoft IIS webszerverének június 18-án publikált biztonsági rését használja ki. Ez a már szinte szokásosnak nevezhető buffer túlcsordulási hibák közé tartozik. Amint azt a biztonsági szakemberek kiderítették, az ún. .ida (Indexing Service) ISAPI-szűrő nem végez megfelelő ellenőrzést a neki paraméterként átadott buffer méretére vonatkozóan, így az a buffer kellőképpen nagyra választva az kicsordulhat a veremterületre, átírva az eljárás utáni visszatérési címet úgy, hogy az a féreg bufferben küldött kódjára mutasson. A hiba a Microsoft Index Server 2.0 változatában, a Windows 2000 Indexing Service-ben, és a Windows XP Indexing Service-ben is jelen van, vagyis gyakorlatilag mindenhol.
Miután átvette a vezérlést, 100 processzt nyit, amiből 99 a terjedéssel van elfoglalva. Ezek véletlenszerűen IP-címeket generálnak, és oda megkísérlik továbbküldeni a férget tartalmazó adatcsomagot. Ez a véletlen számgenerálás azonban minden megtámadott gépen ugyanarról a kiinduló értéktől indul, így minden féregpéldány ugyanazt az IP-cím szekvenciát keresi végig. Ez rengeteg felesleges hálózati forgalmat generál, ahogy már megtámadott gépeket fertőz meg újra és újra, másrészt szerencsére lelassítja a terjedést.