Ќова€ ”гроза »Ќ“≈–Ќ≈“

ƒата публикации:
23.07.2001
ƒата изменени€:
17.10.2006
¬сего просмотров:
1328
ќпасность:
Ќизка€
Ќаличие исправлени€:
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
¬оздействие:
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
ќписание:

≈сли ¬ы не планируете ничего другого на сегодн€, удостоверьтесь, что ¬ы защитили вашу компьютерную систему от черв€ Code Red, который, по сообщени€м, инфицировал более 300,000 компьютеров в этом мес€це, и может снова начать производить опустошение в Internet, когда наступит заданное врем€ активности черв€. ќн начнет распростран€тьс€ снова в среду, в полночь по √ринвичу (31 июл€ в 8:00 пополудни). “огда снова Code Red будет портить web-страницы, вызыва€ много дополнительной работы дл€ системных администраторов, и несколько замедл€ть скорость работы Internet, точно так же, как он это делал в течение мес€ца.
Microsoft, ‘Ѕ–, координационный центр CERT, институт SANS и несколько других групп объ€вили совместно тревогу в воскресенье вечером, предупрежда€, что Code Red "очень реальна€Ф угроза Internet, и установили 31 июл€ крайним сроком дл€ защиты систем от черв€.
"≈сли имеетс€ хот€ бы один инфицированный компьютер, то он снова начнет инфицировать другие компьютеры" - —тив “риллинг, директор исследований в антивирусном центре компании Symantec, сказал в официальном сообщении дл€ прессы.
Ќо –об –осенбергер, web-master сайта, посв€щенного разоблачению мифов о компьютерных вирусах, полагает, что волна предупреждений по электронной почте относительно черв€, более веро€тно, замедл€ет работу Internet больше, чем сам червь непосредственно. "я сделаю простой прогноз. —ерверы электронной почты засор€тс€ в понедельник и вторник предупреждени€ми про этого УужасногоФ черв€" - сказал –осенбергер в своей статье о черве. –осенбергер с радостью планирует изучать истерию, котора€, как он верит, будет сопровождать тревоги о черве на этой неделе. ѕреувеличиваетс€ опасность или нет, заплатку, котора€ предотвращает инфицирование компьютера червем Code Red, должен поставить любой, кто использует Windows NT или Windows 2000 и Microsoft's Internet Information Server (IIS) - программное обеспечение.
Ёффекты действи€ черв€ в течение его первого запуска оказались не настолько разрушительными, как опасались некоторые эксперты. Ќо машины должны быть защищены, так или иначе. ”€звимость, которой пользуетс€ червь, также оставл€ет систему беззащитной перед атаками злонамеренных хакеров, позвол€€ им дистанционно управл€ть инфицированной системой.
”становка заплатки - проста€ процедура, котора€ не может повредить систему, но помогает боротьс€ с распространением черв€. ƒаже если ваш компьютер не используетс€ в качестве сервера, IIS устанавливаетс€ автоматически многими приложени€ми. “е, кто не уверен, использует ли он IIS, могут вызвать Ућенеджер «адачФ, нажав клавиши Ctrl-Alt-Del одновременно. Ќажмите на Ућенеджера «адачФ в диалоговом окне, и выберите позицию Processes. ѕоищите Inetinfo.exe в столбце названий. ≈сли Inetinfo.exe имеетс€, ¬ы используете IIS и должны установить необходимые заплаты. ≈сли нет, ¬ы не используете IIS и можете не исправл€ть вашу систему.
ƒл€ избавлени€ вашей машины от черв€ просто перезагрузите ваш компьютер. „тобы предохранить ваш компьютер от нового инфицировани€, установите заплатку против Code Red дл€ Microsoft Windows NT или Microsoft Windows 2000 Professional. ѕошагова€ инструкци€ дл€ применени€ заплатки и чистки системы от черв€ была предложена Digital Island Net.

ѕосле 13 июл€ несколько версий черв€ Code Red прокладывали свои пути через Internet, атаку€ серверы и замедл€€ трафик.
 омпани€ безопасности eEye Digital Security обнаружила дефект в IIS, который эксплуатирует Code Red, 18 июн€, и предупредила, что вскоре может по€витьс€ модификаци€ черв€, полностью контролирующа€ систему за счет найденной у€звимости.  омпани€ eEye также произвела первый полный анализ черв€ после того, как он был выпущен в Internet приблизительно 13-ого июл€. „ервь было назван в честь высококачественного безалкогольного напитка с высоким содержанием кофеина, –осы √оры Code Red, которую команда программистов eEye пила в течение всей ночной работы, когда они пытались установить, что представл€ет собой данный вирус, и на что он способен.
ѕо крайней мере, две новых версии черв€ также были обнаружены в —ети, и, кажетс€, распростран€ющихс€ даже быстрее первоначальной версии Code Red, сказал ћарк ћаиффрет, руководитель отдела взломов в eEye. ѕосле инфицировани€ системы, червь сканирует Internet, определ€€ другие также у€звимые серверы, а затем инфицирует их, автоматически инсталлиру€ себ€ через 80 порт.  аждый новый червь сразу же присоедин€етс€ к другим в их поиске новых систем дл€ инфицировани€.
Ќовое исследование CERT'S по поводу черв€ Code Red вы€вило, что дес€тки тыс€ч систем уже инфицированы или потенциально у€звимы к повторному инфицированию. ѕоскольку червь распростран€етс€ так быстро, эксперты CERT полагают, что, веро€тно, почти все у€звимые системы будут под угрозой ко 2 августа, времени ожидаемого следующего запуска вируса. ѕотенциал инфицированных машин достаточен, чтобы прервать деловое и персональное использование Internet, замедл€€ способность серверов к обработке информации, и, возможно, привод€ некоторые системы к окончательной остановке.
ѕерва€ верси€ черв€ была закодирована так, чтобы кажда€ инфицированна€ машина, в конечном счете, атаковала машину, котора€ первоначально инфицировала ее. Ёксперты EEye подозревают, что это позвол€ло человеку, знающему код, прослеживать распространение вируса. »спользу€ эту особенность черв€, эксперты защиты eEye были бы способны точно проследить начало пути черв€.  ажда€ машина, котора€ была инфицирована, в конечном счете "будет звонить домой", что позвол€ет записать и проследить путь. Ќо новые версии Code Red не содержат этой погрешности в кодировке.
„ервь кодирован, чтобы быть чувствительным ко времени; его де€тельность основана на дате (дне мес€ца) по часам инфицированной системы. „ервь находитс€ в "режиме размножени€" с первого по 19-ое число мес€ца. ¬ течение этого времени инфицированный компьютер пытаетс€ выпустить черв€ по другим беспор€дочно выбранным IP-адресам, использующим один из коммуникационных портов компьютера (порт TCP 80).
„ервь входит в "режим наводнени€" с 20-ого по 27-ое число мес€ца, начина€ массовую атаку, направленную на отказ в работе конкретного сервера с определенным IP-адресом, который вшит в код программы черв€. “екущие версии черв€ начинали атаку на web-сайт Ѕелого дома.
¬ последний мес€ц, Ѕелый дом выдержал атаки черв€, переадресу€ все движение по Internet к IP-адресу, на который червь не был запрограммирован, и, соответственно, блокиру€ все запросы по адресу, на который была закодирована атака черв€.
ќчистка систем от черв€ может отнимать много времени. Ќа последней неделе ѕентагон временно закрывает общественный доступ ко всем своим web-сайтам, чтобы очистить их и установить защиту всех сетей, работу, которую некоторые эксперты защиты сравнивают с массовым убийством.
„ервь входит в режим "завершени€" или "бездействи€" после 27-ого дн€ мес€ца, остава€сь в инфицированных системах, но пребыва€ в неактивном состо€нии до первого дн€ следующего мес€ца.
ѕерва€ верси€ черв€ при инфицировании web-сервера также стирала содержимое web-сайта и добавл€ла надпись "Hello! Welcome to http://www.worm.com! Hacked by Chinese!", стертые страницы оставались в таком виде 10 часов, а затем возвращались к нормальному состо€нию. Ќовые версии черв€ не стирают web-сайты, которые содержат инфицированные компьютеры, но более склонны сокрушать сами серверы, после того, как процесс размножени€ вируса пройдет большое число раз, сказали представители eEye's.
—айт "windowsupdate.microsoft.com" компании Microsoft в течение нескольких часов 20 июн€ содержал сообщение вируса, что €вл€етс€ очевидным признаком того, что компани€ не защитила все ее собственные серверы своей же защитной заплаткой. —тив Ћипнер, глава отдела безопасности компании Microsoft, сказал, что компани€ разрабатывает новые более эффективные способы распространени€ защитных заплаток.
 


или введите им€

CAPTCHA