Несмотря на многочисленные предупреждения о возможности скорого "пробуждения" интернет-червя Code Red, избежать повторной эпидемии вируса так и не удалось. Кроме того, вирус вызвал панику среди владельцев домашних компьютеров, в результате чего британский Скотланд-Ярд официально обвинил ФБР в нагнетании ненужного ажиотажа.
По данным Reuters на 18 часов вечера среды, около 80 тысяч серверов Microsoft IIS по всему миру, работающих под Windows NT/2000, все-таки было инфицировано червем. По другим данным (Associated Press со ссылкой на данные института SANS) в целом по всему миру на 11 часов вечера было заражено около 150 тысяч серверов IIS.
Серьезно не пострадали от вируса только правительственные учреждения США, которые начали готовиться к пробуждению вируса заранее. , например, более недели назад на несколько дней отключало все свои общедоступные серверы, работающие под IIS и Windows NT/2000. Во время отключения на все серверы была установлена необходимая заплатка, находящаяся в на сайте Microsoft.
По результатам разрушительной деятельности вируса Code Red его эпидемия уже названа самой крупной в истории компьютерных сетей. По последним данным, в прошлую атаку червь нанес ущерб в общей сложности на 1 миллиард 200 миллионов долларов.
В то же время, по мнению некоторых специалистов, ФБР и прочие государственные и коммерческие структуры США явно перестарались с объявлением "всеобщей интернет-тревоги". В результате многочисленных сообщений в СМИ о пробужеднии опаснейшего червя, "угрожающего национальной безопасности Америки", многие обычные пользователи Интернета приняли эти сообщения на свой счет, полагая, что вирус грозит их домашним компьютерам (хотя на самом деле он поражает лишь серверы, да и то со специфическим серверным ПО). По сведениям ZDNet, паника сради британских пользователей РС даже вынудила Скотланд-Ярд выступить с официальным заявлениям, в котором представители британской полиции осудили ФБР за нагнетание ненужного ажиотажа среди обычных пользователей.
Напомним, что вирус Code Red Worm заражает серверы, работающие под Microsoft Internet Information Server (IIS), используя переполнение буфера, позволяющее запустить вредоносный код и установить полный контроль над системой. После заражения через "дыру" в IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: ""Welcome to http://www.worm.com! Hacked By Chinese!" ("Добро пожаловать на http://www.worm.com! Взломано китайцами!").
Основной и уникальной особенностью червя является то, что он не прописывает себя на жестких дисках северов и не создает ни временных, ни постоянных файлов, существуя лишь в их оперативной памяти. Благодаря этой особенности его пребывание в системе труднее отследить (даже дефейс осуществляется не заменой страницы, а перехватом запросов пользователей к серверу). С другой стороны, Code Red легко уничтожается - достаточно перезагрузить сервер.
Кроме того, при некоторых обстоятельствах червю не хватает места для работы, что приводит к зависанию и перезагрузке сервера. Одновременно в оперативной памяти сервера может существовать до 100 различных процессов Red Code, благодаря чему проявляется еще один неприятный эффект - скорость работы сервера значительно снижается.
Червь демонстрирует фальшивую веб-страницу сайта в течение 10 часов, после чего сам возвращает все на свои места и посетители видят оригинальную версию сайта.
Вирус заражает только серверы, работающие под англоязычной версией операционных систем Windows NT и Windows 2000. Червь перестает размножаться, когда натыкается на сервер, где стоит национальная версия этих операционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на сервере.
Основной функцией червя является организация в мировом масштабе DDoS-атаки на сайт Зараженная система становится своеобразным зомби-сервером, осуществляющим многократные отсылки запросов по IP-адресу 198.137.240.91. Из-за этого сисадминами правительственного сайта еще в первую эпидемию было принято решение о перенесении сайта на другой IP-адрес, а также о переходе на сервера под Linux.
Copyright © 2000-2002 Нетоскоп