紅色代碼

电脑蠕虫

紅色代碼 是2001年7月15日在互聯網上觀察到的一種電腦蠕蟲 。它會攻擊運行微軟IIS Web服務器的計算機。

.ida 紅色代碼蠕蟲
常用名稱紅色代碼
技術名稱CRv 和 CRvII
感染系統Windows
發現時間2001年7月15日

eEye Digital Security員工Marc Maiffret和Ryan Permeh首先發現和研究了紅色代碼蠕蟲,蠕蟲利用了Riley Hassell發現的漏洞。他們將其命名為「Code Red」,因為Code Red Mountain Dew是他們當時正在喝的飲料[1]

儘管蠕蟲在7月13日開始散布,2001年7月19日就感染了數量最多的計算機。在這一天,受感染的主機數量達到了359,000台。 [2]

概念

編輯

被利用的漏洞

編輯

隨IIS的市場份額的不斷增長,該蠕蟲使用了一個在微軟安全公告MS01-033[3]中描述的漏洞,而補丁已在一個月前發布。

蠕蟲使用一種常見的漏洞(稱為緩衝區溢出)進行傳播。它使用重複字母'N'的長字符串來溢出緩衝區,從而使蠕蟲執行任意代碼並用蠕蟲感染機器。Kenneth D. Eichman是第一個發現如何阻止它,並被邀請到白宮講解他的發現的人[4]

蠕蟲有效載荷

編輯

蠕蟲的有效載荷包括:

  • 篡改受影響的網站以顯示:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
  • 其他基於月份日的活動:[5]
    • 第1-19天:嘗試通過在互聯網上查找更多IIS服務器來進行自我傳播。
    • 第20-27天:向多個固定的IP地址發動阻斷服務攻擊白宮網絡服務器的IP地址就是其中之一[2]
    • 第28天-月底:休眠,不主動攻擊。

在掃描易受攻擊的計算機時,蠕蟲不會測試遠程計算機上運行的服務器是否是易受攻擊的IIS版本,甚至無法檢測它是否運行IIS。此時的Apache訪問日誌經常有這樣的條目:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

蠕蟲的有效載荷是最後一個'N'後面的字符串。由於緩衝區溢出,易受攻擊的主機將此字符串解釋為計算機指令,傳播蠕蟲。

類似蠕蟲

編輯

2001年8月4日,紅色代碼II出現。紅色代碼II是原始紅色代碼蠕蟲的一個變種。儘管它使用相同的注入向量,但它有完全不同的有效載荷。它根據固定的概率分布偽隨機地選擇與被感染機器相同或不同子網上的目標,同時更傾向於位於自己子網內的目標。此外,它使用重複的'X'字符而不是'N'字符模式來使緩衝區溢出。

eEye公司認為,該蠕蟲起源於菲律賓馬卡蒂市,與VBS/Loveletter(又名「ILOVEYOU」)蠕蟲來源相同。

參見

編輯

參考

編輯
  1. ^ ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011), Code Red advisory, eEye Digital Security, 17 July 2001
  2. ^ 2.0 2.1 Moore, David; Colleen Shannon. The Spread of the Code-Red Worm (CRv2). CAIDA Analysis. c. 2001 [2006-10-03]. (原始內容存檔於2017-11-20). 
  3. ^ MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise"頁面存檔備份,存於網際網路檔案館),Microsoft Corporation,2001-06-18
  4. ^ Lemos, Rob. Virulent worm calls into doubt our ability to protect the Net. Tracking Code Red. CNET News. [14 March 2011]. (原始內容存檔於2011-06-17). 
  5. ^ CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL. CERT/CC. 17 July 2001 [2010-06-29]. (原始內容存檔於2013-12-09). 

外部連結

編輯

Template:2000年代黑客