Code Red (internetmask)

Från Wikipedia
Hoppa till: navigering, sök

Code Red var en internetmask som släpptes lös på Internet 13 juli 2001. Den attackerade datorer som använde sig av Microsofts IIS-webbserver. Namnet kom ifrån programmerarna på eEye Digital Security som studerade programmet noggrannast och anspelade på en variant av läskedrycken Mountain Dew och frasen "Hacked By Chinese!" som masken la upp på de webbservrar den angrep. Den 19 juli 2001 var 359 000 servrar infekterade.[1]

Hur fungerade masken[redigera | redigera wikitext]

Utnyttjad svaghet[redigera | redigera wikitext]

Masken utnyttjade en svaghet i indexeringsmjukvaran som distribuerades med IIS, beskrivet i MS01-033. En patch hade släppts en månad tidigare.

Masken spred sig genom en så kallad buffertöverskridning - den skapade en lång sträng av bokstaven 'N' för att överskrida en bufferts tillåtna maxgräns och kunde därefter exekvera generell kod och därmed infektera maskinen.

Maskens innehåll[redigera | redigera wikitext]

Masken gjorde följande:

  • Den förändrade webbsidan på webbservern så den visade:

    HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

  • Den försökte sprida sig genom att finna fler IIS-servrar att infektera på Internet.
  • Den väntade 20-27 dagar efter installationen innan den startade en denial of service-attack på ett antal hårdkodade IP-adresser, bland annat Vita Husets.[1]

När den försökte finna servrar som den kunde infektera undersökte den inte om maskinen faktiskt körde den IIS-versionen som var sårbar för infektionsmetoden eller om maskinen ens körde IIS. Apache-servrar har i sina anslutningsloggar från denna tiden mängder av följande anslutningsförsök: [2]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Besläktade maskar[redigera | redigera wikitext]

Den fjärde augusti 2001 dök Code Red II-masken upp. Denna mask var inte en variant av Code Red-masken, för även om den använde samma sårbarhet, så hade den en annan payload. Den valde pseudoslumpmässigt ut mål på samma eller annat subnät som den infekterade maskiner enligt en viss sannolikhetsfördelning, den föredrog oftast mål på sitt eget subnät. Masken hade även bytt ut alla de N som användes i Code Red mot X.

eEye trodde att masken hade sitt ursprung i Makati CityFilippinerna (samma ursprung som Love letter-masken).

Referenser[redigera | redigera wikitext]

  1. ^ [a b] The Spread of the Code-Red Worm (CRv2)
  2. ^ Själva koden som masken försöker exekvera är tecknen efter det sista N:et. En sårbar IIS-servrar tolkar dessa som datorinstruktionen.

Externa länkar[redigera | redigera wikitext]