Червь “Китай” заразил 22 тысячи серверов

Author:

Ленка Виноградова

Новый интернет-червь “Китай” заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним – просто перезагрузить сервер.

Как сообщает NewsBytes, официальное название вируса – Code Red Worm. После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: “”Welcome to http://www.worm.com! Hacked By Chinese!” (“Добро пожаловать на http://www.worm.com! Похакано китайцами!”). Затем червь размножается и рассылает свои копии на другие машины с IIS.

Code Red Worm или “Китай” был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000. Об этом сообщили после исследования червя аналитики из компании eEye Digital Security. По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия оперционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.

Code Red Worm использует известную с прошлого месяца “дыру” в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы – не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.

Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на вичестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.

Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.

Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.

По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm.

ССЫЛКИ ПО ТЕМЕ


eEye Digital Security

Code Red Worm Can Be Killed By Reboot – NewsBytes, 18.07.01

МАТЕРИАЛЫ ПО ТЕМЕ


Новый интернет-червь переписывается с Гейтсом09.06.01


Microsoft распространял вирусы в нагрузку к патчам для своих дыр26.04.01


Производители червей переключились на Linux24.01.01


Новый вирус блокирует пополнение базы антивирусных программ29.09.00


Союз Журналистов