Новая мутация CodeRed распространяет троянов

Author:

В выходные по Сети начала распространяться новая, модифицированная версия широко прославившегося интернет-червя Code Red.

В отличие от своего прародителя, единственной задачей которого была организация DDoS-атаки на сайт Белого Дома, вирус Code Red-2 пришивает к системе троянскую программу, позволяющую удаленному пользователю получать системный доступ и устанавливать полный контроль над сервером.

Червь Code Red в любой модификации не опасен для конечных пользователей, даже если их компьютер поключен к Сети. Это напоминание кажется особенно актуальным в связи с возникающими в СМИ сообщениях о том, что «опаснейший вирус RedCode поражает компьютеры, на которых установлены операционные системы Windows 2000/NT».

На самом деле, червь поражает только компьютеры, работающие под англоязычными версиями ОС Widows NT/2000, на которых установлено серверное ПО Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Вирус эксплуатирует дыру Indexing Service и потому опасен именно для серверов, а не для конечного пользователя. Главным профилактическим средством борьбы с распространением Code Red является установка бесплатной заплатки от Microsoft либо установка альтернативного серверного ПО.

После первых непродолжительных «выступлений» в июле Code Red впал в спячку до первого августа. ФБР и прочие правительственные организации США подняли настоящую интернет-тревогу, назвав вирус «угрозой национальаной безопасности». Нагнетание паники вызывало многочисленные критические заявления экспертов и даже официальный протест британского Скотланд-ярда.

При этом, как сообщает The Register, из-за шумихи вокруг Code Red многие не обратили внимания на то, что уже первая версия Code Red позволяла удаленному пользователю установить на зараженный север троянскую программу и получить полный контроль над удаленной системой.

Новая версия интернет-червя, которая делает это автоматически, была обнаружена сотрудниками американского «Института системного администрирования, сетей и безопасности» (Systems Administration, Networking and Security Institute — SANS). Точных данных о возможных или реальных последствиях распространения новой модификации CodeRed пока нет. Ясно лишь одно — теперь для полного устранения последствий деятельности вируса уже недостаточно будет просто перезагрузить сервер, поскольку при установке троянской программы («черного хода» в систему) вредоносный код прописывается на жесткий диск сервера.

Напомним, что первая версия вируса Code Red занималась лишь тем, что устраивала DDoS-атаку на сайт Белого дома, а также вывешивала на зараженных серверах сообщение «Hacked By Chinese!» («Взломано китайцами!»), что привело к предположениям о китайском происхождении вируса. «Старый» Code Red не прописывал себя на жестких дисках серверов и не создавал ни временных, ни постоянных файлов, существуя лишь в их оперативной памяти. Благодаря этой особенности его пребывание в системе было труднее отследить. С другой стороны, от вируса можно было избавиться, просто перезагрузив сервер.

Еще одним неприятным эффектом распространения Code Red специалисты называли снижение скорости работы зараженных серверов, а иногда и их полное зависание. Правда, компания Keynote на днях сделала заключение, что даже в моменты наивысшей активности вируса он практически не влиял на качество прохождения информации по Сети. Глобальное замедление Интернета 19 июля этого года, по мнению компании, было вызвано не вирусом Code Red, а железнодорожной катастрофой в туннеле близ Балтимора, где сошел с рельсов и загорелся поезд, груженный соляной кислотой. В результате аварии были повреждены магистральные кабели (backbones), что вызвало замедление работы Интернета по всем Соединенным Штатам.

Как сообщает «Компьюлента», удмуртский интернет-провайдер МАРК-ИТТ зафиксировал уже три случая заражения вирусом CodeRed российских серверов.

blank
ССЫЛКИ ПО ТЕМЕ blank

blank
Systems Administration, Networking and Security Institute (SANS)
blank
Son of Code Red is born — The Register, 06.08.01

blank
МАТЕРИАЛЫ ПО ТЕМЕ blank

blank
Вирус Code Red: серверы висят, персоналки паникуют02.08.01

blank
Китай не взял на себя ответственность за вирус Code Red01.08.01

blank
Вирус «Китай»: до взрыва осталась одна ночь31.07.01

blank
Сайты в зоне .mil заработали25.07.01

blank
Электронный Пентагон заблокировался от «Китая»24.07.01

blank
Вирус «Китай» устроил массовую атаку на Белый дом20.07.01

blank
Балтиморский поезд вырубил американский Интернет20.07.01

blank
Червь «Китай» заразил 22 тысячи серверов19.07.01

blank
Microsoft публикует коды .Net-стратегии22.06.01

blank
Apple вынудила AppleSoup сменить имя13.09.00


Союз Журналистов