Code Red (internetmask)

Code Red var en internetmask som släpptes lös på Internet 13 juli 2001. Den attackerade datorer som använde sig av Microsofts IIS-webbserver. Namnet kom ifrån programmerarna på eEye Digital Security som studerade programmet noggrannast och anspelade på en variant av läskedrycken Mountain Dew och frasen "Hacked By Chinese!" som masken la upp på de webbservrar den angrep. Den 19 juli 2001 var 359 000 servrar infekterade.^[1]

Hur fungerade masken[redigera | redigera wikitext]

Utnyttjad svaghet[redigera | redigera wikitext]

Masken utnyttjade en svaghet i indexeringsmjukvaran som distribuerades med IIS, beskrivet i MS01-033. En patch hade släppts en månad tidigare.

Masken spred sig genom en så kallad buffertöverskridning - den skapade en lång sträng av bokstaven 'N' för att överskrida en bufferts tillåtna maxgräns och kunde därefter exekvera generell kod och därmed infektera maskinen.

Maskens innehåll[redigera | redigera wikitext]

Masken gjorde följande:

Den förändrade webbsidan på webbservern så den visade:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
Den försökte sprida sig genom att finna fler IIS-servrar att infektera på Internet.
Den väntade 20-27 dagar efter installationen innan den startade en denial of service-attack på ett antal hårdkodade IP-adresser, bland annat Vita Husets.^[1]

När den försökte finna servrar som den kunde infektera undersökte den inte om maskinen faktiskt körde den IIS-versionen som var sårbar för infektionsmetoden eller om maskinen ens körde IIS. Apache-servrar har i sina anslutningsloggar från denna tiden mängder av följande anslutningsförsök: ^[2]

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Besläktade maskar[redigera | redigera wikitext]

Den fjärde augusti 2001 dök Code Red II-masken upp. Denna mask var inte en variant av Code Red-masken, för även om den använde samma sårbarhet, så hade den en annan payload. Den valde pseudoslumpmässigt ut mål på samma eller annat subnät som den infekterade maskiner enligt en viss sannolikhetsfördelning, den föredrog oftast mål på sitt eget subnät. Masken hade även bytt ut alla de N som användes i Code Red mot X.

eEye trodde att masken hade sitt ursprung i Makati City på Filippinerna (samma ursprung som Love letter-masken).

Referenser[redigera | redigera wikitext]

^ [a b] ”The Spread of the Code-Red Worm (CRv2)”. Arkiverad från originalet den 4 april 2007. https://web.archive.org/web/20070404021728/http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml. Läst 14 april 2007.
^ Själva koden som masken försöker exekvera är tecknen efter det sista N:et. En sårbar IIS-servrar tolkar dessa som datorinstruktionen.

Denna artikel är en översättning av motsvarande artikel på engelska Wikipedia

Externa länkar[redigera | redigera wikitext]

CERT Advisory CA-2001-19
eEye Code Red advisory
Analys av Code Red II
Urban Dictionary om frasen "Hacked by Chinese."

[caida-1] [a b] ”The Spread of the Code-Red Worm (CRv2)”. Arkiverad från originalet den 4 april 2007. https://web.archive.org/web/20070404021728/http://www.caida.org/analysis/security/code-red/coderedv2_analysis.xml. Läst 14 april 2007.

[2] Själva koden som masken försöker exekvera är tecknen efter det sista N:et. En sårbar IIS-servrar tolkar dessa som datorinstruktionen.

[1]

[2]