Från Rilpedia

Code Red var en internetmask som släpptes lös på Internet 13 juli 2001. Den attackerade datorer som använde sig av Microsofts IIS-webbserver. Namnet kom ifrån programmerarna på eEye Digital Security som var dom som studerade programmet noggrannast och anspelade på en variant av läskedrycken Mountain Dew och frasen "Hacked By Chinese!" som masken la upp på de webbservrar den angrep. Den 19e juli 2001 var 359 000 servrar infekterade.^[1]

Innehåll 1 Hur fungerade masken 1.1 Utnyttjad svaghet 1.2 Maskens innehåll 2 Besläktade maskar 3 Referenser 4 Externa länkar

Hur fungerade masken

Utnyttjad svaghet

Masken utnyttjade en svaghet i indexeringsmjukvaran som distribuerades med IIS, beskrivet i MS01-033. En patch hade släppts en månad tidigare.

Masken spred sig genom en så kallad buffer overflow - den skapade en lång sträng av bokstaven 'N' för att överskrida en bufferts tillåtna maxgräns och kunde därefter exekvera generell kod och därmed infektera maskinen.

Maskens innehåll

Masken gjorde följande:

• Den förändrade webbsidan på webbservern så den visade:

  HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• Den försökte sprida sig genom att finna mer IIS-servrar att infektera på Internet.
• Den väntade 20-27 dagar efter installationen innan den startade en denial of service-attack på ett antal hårdkodade IP-adresser, bland annat Vita Husets.^[1]

När den försökte finna servrar som den kunde infektera undersökte den inte om maskinen faktiskt körde den IIS-versionen som var sårbar för inefktionsmetoden eller om maskinen ens körde IIS. Apache-servrar har i sina anslutningsloggar från denna tiden mängder av följande anslutningsförsök: ^[2]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Besläktade maskar

Den fjärde augusti 2001 dök Code Red II-masken upp. Denna mask var inte en variant av Code Red-masken, för även om den använde samma sårbarhet, så hade den en annan payload. Den valde pseudoslumpmässigt ut mål på samma eller annat subnät som den infekterade maskiner enligt en viss sannolikhetsfördelning, den föredrog oftast mål på sitt egna subnät. Masken hade även bytt ut alla de N som användes i Code Red mot X.

eEye trodde att masken hade sitt urspring i Makati City på Filippinerna (samma ursprung som Love letter-masken).

Referenser

1. ↑ ^{1,0 1,1} The Spread of the Code-Red Worm (CRv2)
2. ↑ Själva koden som masken försöker exekvera är tecknen efter det sista N:et. En sårbar IIS-servrar tolkar dessa som datorinstruktionen.

• Denna artikel är en översättning av motsvarande artikel på engelska Wikipedia

Externa länkar

• CERT Advisory CA-2001-19
• eEye Code Red advisory
• Analys av Code Red II
• Urban Dictionary om frasen "Hacked by Chinese."