Security Lab

Новая Угроза ИНТЕРНЕТ

Дата публикации:23.07.2001
Дата изменения:17.10.2006
Всего просмотров:1845
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Если Вы не планируете ничего другого на сегодня, удостоверьтесь, что Вы защитили вашу компьютерную систему от червя Code Red, который, по сообщениям, инфицировал более 300,000 компьютеров в этом месяце, и может снова начать производить опустошение в Internet, когда наступит заданное время активности червя. Он начнет распространяться снова в среду, в полночь по Гринвичу (31 июля в 8:00 пополудни). Тогда снова Code Red будет портить web-страницы, вызывая много дополнительной работы для системных администраторов, и несколько замедлять скорость работы Internet, точно так же, как он это делал в течение месяца.
Microsoft, ФБР, координационный центр CERT, институт SANS и несколько других групп объявили совместно тревогу в воскресенье вечером, предупреждая, что Code Red "очень реальная” угроза Internet, и установили 31 июля крайним сроком для защиты систем от червя.
"Если имеется хотя бы один инфицированный компьютер, то он снова начнет инфицировать другие компьютеры" - Стив Триллинг, директор исследований в антивирусном центре компании Symantec, сказал в официальном сообщении для прессы.
Но Роб Росенбергер, web-master сайта, посвященного разоблачению мифов о компьютерных вирусах, полагает, что волна предупреждений по электронной почте относительно червя, более вероятно, замедляет работу Internet больше, чем сам червь непосредственно. "Я сделаю простой прогноз. Серверы электронной почты засорятся в понедельник и вторник предупреждениями про этого “ужасного” червя" - сказал Росенбергер в своей статье о черве. Росенбергер с радостью планирует изучать истерию, которая, как он верит, будет сопровождать тревоги о черве на этой неделе. Преувеличивается опасность или нет, заплатку, которая предотвращает инфицирование компьютера червем Code Red, должен поставить любой, кто использует Windows NT или Windows 2000 и Microsoft's Internet Information Server (IIS) - программное обеспечение.
Эффекты действия червя в течение его первого запуска оказались не настолько разрушительными, как опасались некоторые эксперты. Но машины должны быть защищены, так или иначе. Уязвимость, которой пользуется червь, также оставляет систему беззащитной перед атаками злонамеренных хакеров, позволяя им дистанционно управлять инфицированной системой.
Установка заплатки - простая процедура, которая не может повредить систему, но помогает бороться с распространением червя. Даже если ваш компьютер не используется в качестве сервера, IIS устанавливается автоматически многими приложениями. Те, кто не уверен, использует ли он IIS, могут вызвать “Менеджер Задач”, нажав клавиши Ctrl-Alt-Del одновременно. Нажмите на “Менеджера Задач” в диалоговом окне, и выберите позицию Processes. Поищите Inetinfo.exe в столбце названий. Если Inetinfo.exe имеется, Вы используете IIS и должны установить необходимые заплаты. Если нет, Вы не используете IIS и можете не исправлять вашу систему.
Для избавления вашей машины от червя просто перезагрузите ваш компьютер. Чтобы предохранить ваш компьютер от нового инфицирования, установите заплатку против Code Red для Microsoft Windows NT или Microsoft Windows 2000 Professional. Пошаговая инструкция для применения заплатки и чистки системы от червя была предложена Digital Island Net.

После 13 июля несколько версий червя Code Red прокладывали свои пути через Internet, атакуя серверы и замедляя трафик.
Компания безопасности eEye Digital Security обнаружила дефект в IIS, который эксплуатирует Code Red, 18 июня, и предупредила, что вскоре может появиться модификация червя, полностью контролирующая систему за счет найденной уязвимости. Компания eEye также произвела первый полный анализ червя после того, как он был выпущен в Internet приблизительно 13-ого июля. Червь было назван в честь высококачественного безалкогольного напитка с высоким содержанием кофеина, Росы Горы Code Red, которую команда программистов eEye пила в течение всей ночной работы, когда они пытались установить, что представляет собой данный вирус, и на что он способен.
По крайней мере, две новых версии червя также были обнаружены в Сети, и, кажется, распространяющихся даже быстрее первоначальной версии Code Red, сказал Марк Маиффрет, руководитель отдела взломов в eEye. После инфицирования системы, червь сканирует Internet, определяя другие также уязвимые серверы, а затем инфицирует их, автоматически инсталлируя себя через 80 порт. Каждый новый червь сразу же присоединяется к другим в их поиске новых систем для инфицирования.
Новое исследование CERT'S по поводу червя Code Red выявило, что десятки тысяч систем уже инфицированы или потенциально уязвимы к повторному инфицированию. Поскольку червь распространяется так быстро, эксперты CERT полагают, что, вероятно, почти все уязвимые системы будут под угрозой ко 2 августа, времени ожидаемого следующего запуска вируса. Потенциал инфицированных машин достаточен, чтобы прервать деловое и персональное использование Internet, замедляя способность серверов к обработке информации, и, возможно, приводя некоторые системы к окончательной остановке.
Первая версия червя была закодирована так, чтобы каждая инфицированная машина, в конечном счете, атаковала машину, которая первоначально инфицировала ее. Эксперты EEye подозревают, что это позволяло человеку, знающему код, прослеживать распространение вируса. Используя эту особенность червя, эксперты защиты eEye были бы способны точно проследить начало пути червя. Каждая машина, которая была инфицирована, в конечном счете "будет звонить домой", что позволяет записать и проследить путь. Но новые версии Code Red не содержат этой погрешности в кодировке.
Червь кодирован, чтобы быть чувствительным ко времени; его деятельность основана на дате (дне месяца) по часам инфицированной системы. Червь находится в "режиме размножения" с первого по 19-ое число месяца. В течение этого времени инфицированный компьютер пытается выпустить червя по другим беспорядочно выбранным IP-адресам, использующим один из коммуникационных портов компьютера (порт TCP 80).
Червь входит в "режим наводнения" с 20-ого по 27-ое число месяца, начиная массовую атаку, направленную на отказ в работе конкретного сервера с определенным IP-адресом, который вшит в код программы червя. Текущие версии червя начинали атаку на web-сайт Белого дома.
В последний месяц, Белый дом выдержал атаки червя, переадресуя все движение по Internet к IP-адресу, на который червь не был запрограммирован, и, соответственно, блокируя все запросы по адресу, на который была закодирована атака червя.
Очистка систем от червя может отнимать много времени. На последней неделе Пентагон временно закрывает общественный доступ ко всем своим web-сайтам, чтобы очистить их и установить защиту всех сетей, работу, которую некоторые эксперты защиты сравнивают с массовым убийством.
Червь входит в режим "завершения" или "бездействия" после 27-ого дня месяца, оставаясь в инфицированных системах, но пребывая в неактивном состоянии до первого дня следующего месяца.
Первая версия червя при инфицировании web-сервера также стирала содержимое web-сайта и добавляла надпись "Hello! Welcome to http://www.worm.com! Hacked by Chinese!", стертые страницы оставались в таком виде 10 часов, а затем возвращались к нормальному состоянию. Новые версии червя не стирают web-сайты, которые содержат инфицированные компьютеры, но более склонны сокрушать сами серверы, после того, как процесс размножения вируса пройдет большое число раз, сказали представители eEye's.
Сайт "windowsupdate.microsoft.com" компании Microsoft в течение нескольких часов 20 июня содержал сообщение вируса, что является очевидным признаком того, что компания не защитила все ее собственные серверы своей же защитной заплаткой. Стив Липнер, глава отдела безопасности компании Microsoft, сказал, что компания разрабатывает новые более эффективные способы распространения защитных заплаток.