Новый интернет-червь "Китай" заразил 22 тысячи серверов, на которых стояла программа Microsoft Internet Information Server (IIS). Впервые он был обнаружен в пятницу, 13 июля. Специалисты по компьютерной безопасности предлагают простейший способ борьбы с ним - просто перезагрузить сервер.
Как сообщает NewsBytes, официальное название вируса - Code Red Worm. После заражения IIS червь вывешивает на сайты, которые расположены на сервере, сообщение, написанное красными буквами: ""Welcome to http://www.worm.com! Hacked By Chinese!" ("Добро пожаловать на http://www.worm.com! Похакано китайцами!"). Затем червь размножается и рассылает свои копии на другие машины с IIS.
Code Red Worm или "Китай" был создан автором для заражения серверов, работающих под англоязычной версией операционных систем Windows NT и Windows 2000. Об этом сообщили после исследования червя аналитики из компании eEye Digital Security. По мнению специалистов, если бы не эта особенность, жертв и разрушений было бы гораздо больше. Червь перестает размножаться в тот момент, когда натыкается на компьютер, где стоит национальная версия оперционных систем. Кроме того, в этом случае он не уродует сайты, расположенные на компьютере.
Code Red Worm использует известную с прошлого месяца "дыру" в IIS: переполнение буфера .ida. Компания Microsoft уже выпустила соответствующий патч. Серверы, уже пораженные вирусом, могут некоторое время работать нормально, а их системные администраторы - не замечать непорядка, так как сначала червь размножается, а потом уже вывешивает свое сообщение на сайт.
Кроме того, эксперты выяснили, что этот вирус находится в оперативной памяти, поэтому работает только до тех пор, пока компьютер не перегрузили. Червь не оставляет зараженных файлов на вичестере и не определяется антивирусными программами. Вместо того, чтобы создавать новый файл index.html для замены главной страницы сайта, червь перехватывает запросы от пользователей и генерирует текст дефейса из памяти компьютера.
Эксперты также обнаружили, что на некоторых серверах червь убивает себя сам, так как требует слишком много ресурсов, что приводит к падению сервера и необходимости его перезагрузить.
Первоначально специалисты решили, что Code Red Worm служит ширмой для других программ, открывающих в системе лазейки для хакеров или запрашивающих удаленный компьютер о передаче каких-либо данных. Однако при тщательном анализе в eEye Digital Security было обнаружено, что червь существует сам по себе.
По иронии судьбы или создателей червя, одним из пострадавших сайтов стал Worm.com. Его владельцы отрицают свою причастность к Code Red Worm.