Premium

Získejte všechny články
jen za 89 Kč/měsíc

Červ CodeRed v2: nebezpečí stále hrozí!

  5:00
Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Pokud jste si mysleli, že internetový červ CodeRed v2 je již starou a téměř zapomenutou záležitostí, pak jste se hluboce zmýlili! Devět měsíců po svém zrození se tato kyberinfekce stále šíří internetem, napadá další servery a otvírá je možnému napadení ze strany hackerů...

Podle bezpečnostních expertů je v současnosti červem CodeRed v2 napadeno přibližně 18 tisíc systémů, které mohou být pomocí jednoduchého příkazu aktivovány a využity např. k DDoS útoku na libovolné webové servery. Varující je fakt, že se infekce stále šíří – zatímco v prosinci minulého roku bylo napadeno necelých 14 tisíc systémů, k dnešnímu dni je jich o více než 4 tisíce více. A nebezpečí, že takové útoky nastanou, je více než reálné!

Internetový červ CodeRed zneužívá chybu v ISAPI modulu IIS (Internet Information Server). Tato chyba umožňuje vzdálenému uživateli spouštět na serveru prakticky libovolnou vlastní aplikaci. V nebezpečí jsou zejména servery Microsoft Index Server 2.0 nebo Indexing Service s nainstalovanými Windows 2000 či IIS. Pokud červ díky výše uvedené chybě pronikne na server, spustí 100 vlastních procesů a v 99 % případů se pokusí o své rozšíření na náhodně vygenerované IP adresy. V případě, že nalezne server s neopravenou chybou, napadne jej. Na napadeném serveru pak na 10 hodin změní výchozí stránku webového serveru a zobrazí text: "Welcome to http://www.worm.com!, Hacked By Chinese!". Toto však nemusí být nutným pravidlem, protože některé z dalších modifikací červa již obsah webových stránek nemění. Původní červ CodeRed byl naprogramován tak, aby se od 1. do 19. v měsíci pouze šířil. Od 20. do 27. dne v měsíci pak zneužíval napadený server k distribuovanému DoS útoku na doménu www.whitehouse.gov. Útok prováděl tak, že z infikovaných serverů posílal na cílový server pakety o velikosti 100 kB. Původní verze červa byla po dobu své podvratné činnosti aktivní pouze v paměti a činnost tohoto červa bylo možno ukončit restartováním serveru.

Mnohem více problémů však způsobuje další verze tohoto červa, známá právě jako Code Red v2. Ta je ve většině znaků shodná s původní, ale navíc obsahuje trojského koně, který provádí zápis na disky napadeného počítače. Tato varianta využívá stejnou bezpečnostní chybu Microsoft IIS ve verzi 4.0 a 5.0, avšak pouze v kombinaci s operačním systémem Windows 2000. V okamžiku proniknutí do systému si tato varianta červa ověří systémové datum a pokud je rok menší než 2002 a měsíc menší než 10, začne se šířit na další počítače. V opačném případě napadený počítač jen restartuje. IP adresy počítačů, které červ prohledává, jsou náhodně generovány jen v jednom z osmi případů. Ve zbývajících sedmi případech používá červ algoritmus, který generuje IP adresu blízkou adrese právě napadeného počítače. Autor červa pravděpodobně vycházel z předpokladu, že ISP svým zákazníkům přidělují IP adresy v určité posloupnosti. Červ se navíc snaží generovat IP adresy náležející do bloku totožného s napadeným počítačem, což významně zvyšuje jeho úspěšnost.

Trojský kůň, kterého CodeRed v2 do systému vypouští, nakopíruje do virtuálních adresářů Scripts a MSADC nakopíruje soubor ROOT.EXE, což je ve skutečnosti přejmenovaný soubor CDM.EXE, který zabezpečuje přístup do systému. Po provedení této operace na disku C: i D: je v kořenovém adresáři obou disků vytvořen soubor EXPLORER.EXE, který se díky relativní cestě ke stejnojmennému souboru spustí po přihlášení do systému jako první. Následně je pak spuštěn skutečný EXPLORER.EXE. Výsledkem je to, že se při každém spuštění počítače vytvoří virtuální adresáře /C a /D, které svým obsahem odpovídají kořenovým adresářům disků C: a D:. Touto cestou se pak lze dostat k libovolnému souboru či adresáři pomocí obyčejného internetového prohlížeče.

Výroky bezpečnostních expertů o nebezpečnosti a zákeřnosti tohoto internetového červa potvrzuje fakt, že jeho původní varianta stačila během prvních 24 hodin infikovat více než 350 tisíc serverů. Infikované stroje mohou být podle jejich názoru využity jako „útočná síť“. Aktivovat ji může prakticky libovolný on-line útočník, který má dostatečné technické znalosti...

  • Nejčtenější

Podívejte se na letadlo, které bude řídit konec světa. Dovolá se ponorkám

Firma Northop Grumman zveřejnila obrázky plánovaného letounu E-130J pro americké námořnictvo. V případě třetí světové války má za úkol obstarat spojení s raketonosnými ponorkami. Používá k tomu...

Světová vědecká elita varuje před vytvořením „zrcadlových bakterií“

Vědci usilovně pracují na vytvoření umělých buněk. Před jedním druhem však varují a chtějí ho vyškrtnout ze svých plánů. Rizika spojená s vytvořením „zrcadlových buněk“ považují za příliš vysoká.

Neuvěříte, co Acer namlel do šasi nového notebooku Vero

Las Vegas (Od zpravodaje Technet.cz) Po plážích se jich válejí miliardy, hromady jich denně vyhodí z luxusních restaurací. Průmyslově je lze využít pro úpravu pH vody nebo z nich vyrábět materiál podobný betonu. A nově je tchajwanský...

Majitel Amazonu vyzývá Muskovu SpaceX. První let rakety ale odložil

Zakladatel Amazonu Jeff Bezos chce dobývat vesmír podobně jako Elon Musk. Jeho firma Blue Origin provozuje nosiče New Shepard a chystá se stavět na oběžné dráze soustavu komunikačních družic Kupier,...

OBRAZEM: Americký obr na kolejích, jehož minul úspěch velkým obloukem

Je logické, že mnohem více prostoru dáváme na Technetu lokomotivám proslaveným v tom dobrém slova smyslu, tedy strojům úspěšným, než lokomotivám, které se nepovedly. A tak aby ani vyložené propadáky...

Jednu část notebooku možná neovládáte tak dobře. Zjistěte, co vše je možné

Touchpad, hladký obdélník nacházející se pod klávesnicí notebooku, patrně používají všichni. Kromě klasického pohybu kurzoru a klikání však umí spoustu dalších užitečných gest. Pojďme se podívat na...

14. ledna 2025

Odkud pochází syfilida? Nová studie ukončuje staletí sporů o původu nemoci

Premium

Kde se zrodila bakterie Treponema pallidum pallidum vyvolávající syfilidu? Letitou „přehazovanou“, kdy se za místo vzniku choroby střídavě označovaly Evropa a Amerika, by měla ukončit nová genetická...

14. ledna 2025

Mars se po letech dostal do opozice ke Slunci, proto je planeta nejjasnější

Měsíc v úplňku bude rušit poměrně vzácný úkaz na obloze. Mars se po několika letech dostává do polohy, kdy je z pozemského pohledu přímo naproti Slunci. To také znamená, že tato planeta odráží...

13. ledna 2025  17:40

Majitel Amazonu vyzývá Muskovu SpaceX. První let rakety ale odložil

Zakladatel Amazonu Jeff Bezos chce dobývat vesmír podobně jako Elon Musk. Jeho firma Blue Origin provozuje nosiče New Shepard a chystá se stavět na oběžné dráze soustavu komunikačních družic Kupier,...

12. ledna 2025,  aktualizováno  13.1 9:09

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Eva Adamczyková je maminkou. Olympionici prozradili jméno miminka

Snowboardistka Eva Adamczyková (31) a herec Marek Adamczyk (37) se stali rodiči. Narození jejich prvního potomka na...

Miluna ze Slunce, seno nestárne. Schmalzová oslavila 30 let po boku milionáře

Petra Schmalzová (57), za svobodna Pyšová, se proslavila jako nezapomenutelná hostinská Miluna v trilogii Zdeňka Trošky...

Jako znásilnění, říká Shieldsová o intimní operaci, kterou si nepřála

Herečka, spisovatelka a modelka Brooke Shieldsová (59) se ve svém právě vycházejícím životopise svěřila mimo jiné se...

Sporťák Jan Smetana už má po odchodu z České televize novou práci

Na konci prosince oznámil, že po 23 letech končí v České televizi. Moderátor Jan Smetana (42) se stane novou posilou...

Po operaci jsem přibrala sedm kilo, ale cítím se nejvíc sexy, říká Pořízková

Modelka českého původu Pavlína Pořízková (59) po loňské výměně kyčelních kloubů přibrala. Všimla si toho, až když jí to...