Mária
-6 °C
-2 °C

A vörös féreg újra támad

2001.08.06. 13:47
A múlt hét végén szakértők egy új és feltehetően veszélyesebb fajtáját fedezték fel a Code Red vírusnak (CodeRed.C, CodeRed III, W32.Bady.C). Az új vírus a CodeRed elvén működik, azonban ez már egy kaput, "backdoor" is hátrahagy a későbbi támadóknak. A CodeRed.C vírust 2001 augusztus 4-en fedezték fel, mely az eredeti CodeRed worm egy variánsa, ugyanazt a buffer-tulcsordulás hibát használva Microsoft IIS webszerverek ellen, mint elődje. A Symantec Antivirus Research Center (SARC) szerint nagyszámú Windows IIS webszervert fertőzőtt meg. Ha az új vírus is ugyanolyan gyorsan terjed, mint a régi, akkor akár több százezer weboldal is ki lesz téve a hackerek támadásának.
Azok a Microsoft IIS webkiszolgáló szoftverrel ellátott számítógépek, amelyek a korábbi Code Red vírus ellen már védve voltak, feltehetően nem fenyegeti veszély.

A CodeRed egy féreg típusú speciális vírus. Amíg azonban a vírusok egy számítógépen adatról adatra terjednek, addig a férgek a hálózatokon önállóan vándorolnak egyik gépről a másikra. A Code Red már eddig többször megjelent, mint például az elmúlt héten is, miközben világszerte 300 ezer számítógépet támadott meg, azonban ez az internet teljesítményét nem csökkentette jelentősebb mértékben. A CodeRed Microsoft NT és Windows 2000 operációs rendszereken futtatott különféle IIS webkiszolgálókat támad meg.

Szakértők az Egyesült Államokban egy új vírust találtak, amely hasonlít a nemrég felbukkant Code Redre. Az elektronikus kártevőt a hétvégén fedezték fel az interneten, és Code Red 2-nek nevezték el. Ez ugyanazokat a Windows IIS webszervereket támadja meg, mint a korábbi. Azonban ez több mint egyszerűen egy új változat. Az új vírus nemcsak a weboldalakat változtatja meg és másolja tovább magát, hanem egy kaput is "hátrahagy" a később hacker támadásoknak a fertőzött gépeken.

Az egy üdítő ital után elnevezett Code Red számítógépes vírus először július 19-én jelent meg az USA-ban. Többek között a Fehér Ház weboldalát is megtámadva. A Code Red 2 a szakemberek szerint sokkal nehezebben fedezhető fel mint elődje. Ezenkívül annál sokkal gyorsabban terjed.

Megállj a Code Rednek

Az, hogy a Code Red ilyen hihetetlenül gyorsan el tudott terjedni, főként annak köszönhető, hogy igen rövid idő alatt rengeteg címet be tud gyűjteni. Ha egy IP-címet nem használnak vagy nem fut rajta webszerver, akkor a féreg azonnal egy negatív visszajelzést kap a megfelelő ellenőrző csomag formájában, és ezek után már fordulhat is a következő potenciális áldozathoz.

A CodeRedNeck program a kapcsolati lekérdezésre egy egyszerű megerősítéssel válaszol, úgy hogy a kapcsolat közben fel is épül. Azután azonban egyszerűen elhallgat (leáll). A támadó elküldi a kiválasztott áldozatnak a kérdést - vár, de nem kap választ - ebben az esetben megpróbálja még egyszer, és így tovább. Amíg a féreg nem észleli, hogy a kapcsolat halott, a szokásos másodperctöredékek helyett percek is eltelhetnek.

Az ilyen "szürkébb lyukak" (CodeRedNeck) nagy része hatékonyan akadályozhatja meg a Code Red és más hasonló kártevők továbbterjedését.

A Microsoft javítást adott ki

A Code Red kártevő olyan Microsoft Indexing Service szerverszámítógépeket támad meg, amelyeknél a már egy hónapja ismert biztonsági rés megtalálható. Ezzel a kártevővel kell szembenéznie minden Microsoft Internet Information Server (IIS) 4.0 vagy 5.0-val rendelkező Windows NT és 2000 rendszert használónak, aki nem installálta a Microsoft által az Indexing Service-hez kiadott patch-et. A fertőzött számítógépek egy weboldalra mutatnak, ahol a címben "Hello!" a szövegrész sorában pedig "Hacked by Chinese!" olvasható.

A Code Red egy közvetlen, a 80-as portra irányuló TCP/IP kapcsolatban támadja meg a kiválasztott gépet, miközben egy pillanatra sem írja fel magát a merevlemezre semmilyen formában, a kártevő "csupán megtalálható" a megfertőzött gépen. Ennek a sajátosságának köszönhető, hogy a hagyományos víruskeresők nem találják meg. Azonban a féreg manuális úton egyszerűen eltávolítható: az adminisztrátoroknak egyszerűen le kell tölteniük a már említett patch-et és újraindítani a számítógépet. Az ironikus a dologban az, hogy a Microsoft munkatársai nyilvánvalóan elfelejtették a saját IIS-ükre (www.windowsupdate.microsoft.com) feltelepíteni ez a patch-et. Információk (a biztonsági levelezőfigyelő) szerint ugyanis tegnap este 22 és 24 óra között ezt a szervert is megfertőzte a vírus.

A Fehér Ház elköltözött

A terjedése mellett a Code Red azonban egy közvetlen támadási funkciót is magában rejt: ugyanis a féreg egyik verziója 20-24 óra között a megfertőzött számítógépeket egy összefogott Denial-of-Service támadásra vette rá a Fehér Ház ellen. Az eredeti változat csak pénteken intézte volna ezeket a DoS-támadásokat. Jelentések szerint azonban a Fehér Ház adminisztrátorai még időben észlelték a támadást, és megváltoztatták a weboldal IP-címét, így nem érte komolyabb támadás.

Forrás: Neext Consulting

Kreuzenstein mesevára

Nézd meg Te is Laczko legújabb fotóit!

Paphos képekben

Ciprusi fotók, fantasztikus élmények. Nézd meg most!