红色代码

电脑蠕虫

红色代码 是2001年7月15日在互联网上观察到的一种電腦蠕蟲 。它会攻击运行微软IIS Web服务器的计算机。

.ida 红色代码蠕虫
常用名稱红色代码
技術名稱CRv 和 CRvII
感染系统Windows
發現時間2001年7月15日

eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料[1]

尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。 [2]

概念

被利用的漏洞

随IIS的市场份额的不断增长,该蠕虫使用了一个在微软安全公告MS01-033[3]中描述的漏洞,而补丁已在一个月前发布。

蠕虫使用一种常见的漏洞(称为缓冲区溢出)进行传播。它使用重复字母'N'的长字符串来溢出缓冲区,从而使蠕虫执行任意代码并用蠕虫感染机器。Kenneth D. Eichman是第一个发现如何阻止它,并被邀请到白宮讲解他的发现的人[4]

蠕虫有效载荷

蠕虫的有效载荷包括:

  • 篡改受影响的网站以显示:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • 其他基于月份日的活动:[5]
    • 第1-19天:尝试通过在互联网上查找更多IIS服务器来进行自我传播。
    • 第20-27天:向多个固定的IP地址发动阻斷服務攻擊白宮网络服务器的IP地址就是其中之一[2]
    • 第28天-月底:休眠,不主动攻击。

在扫描易受攻击的计算机时,蠕虫不会测试远程计算机上运行的服务器是否是易受攻击的IIS版本,甚至无法检测它是否运行IIS。此时的Apache访问日志经常有这样的条目:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

蠕虫的有效载荷是最后一个'N'后面的字符串。由于缓冲区溢出,易受攻击的主机将此字符串解释为计算机指令,传播蠕虫。

类似蠕虫

2001年8月4日,红色代码II出现。红色代码II是原始红色代码蠕虫的一个变种。尽管它使用相同的注入向量,但它有完全不同的有效载荷。它根据固定的概率分布伪随机地选择与被感染机器相同或不同子网上的目标,同时更倾向于位于自己子网内的目标。此外,它使用重复的'X'字符而不是'N'字符模式来使缓冲区溢出。

eEye公司认为,该蠕虫起源于菲律宾马卡蒂市,与VBS/Loveletter(又名“ILOVEYOU”)蠕虫来源相同。

参见

参考

  1. ^ ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011), Code Red advisory, eEye Digital Security, 17 July 2001
  2. ^ 2.0 2.1 Moore, David; Colleen Shannon. The Spread of the Code-Red Worm (CRv2). CAIDA Analysis. c. 2001 [2006-10-03]. (原始内容存档于2017-11-20). 
  3. ^ MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise"页面存档备份,存于互联网档案馆),Microsoft Corporation,2001-06-18
  4. ^ Lemos, Rob. Virulent worm calls into doubt our ability to protect the Net. Tracking Code Red. CNET News. [14 March 2011]. (原始内容存档于2011-06-17). 
  5. ^ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL. CERT/CC. 17 July 2001 [2010-06-29]. (原始内容存档于2013-12-09). 

外部链接

Template:2000年代黑客