Нетоскоп/Новости/06.08.2001 http://www.netoscope.ru/news/2001/08/06/3089.html Новая мутация CodeRed распространяет троянов Алексей Рерих 6.08.2001 15:54

В выходные по Сети начала распространяться новая, модифицированная версия широко прославившегося интернет-червя Code Red.

В отличие от своего прародителя, единственной задачей которого была организация DDoS-атаки на сайт Белого Дома, вирус Code Red-2 пришивает к системе троянскую программу, позволяющую удаленному пользователю получать системный доступ и устанавливать полный контроль над сервером.

Червь Code Red в любой модификации не опасен для конечных пользователей, даже если их компьютер поключен к Сети. Это напоминание кажется особенно актуальным в связи с возникающими в СМИ сообщениях о том, что "опаснейший вирус RedCode поражает компьютеры, на которых установлены операционные системы Windows 2000/NT".

На самом деле, червь поражает только компьютеры, работающие под англоязычными версиями ОС Widows NT/2000, на которых установлено серверное ПО Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Вирус эксплуатирует дыру Indexing Service и потому опасен именно для серверов, а не для конечного пользователя. Главным профилактическим средством борьбы с распространением Code Red является установка бесплатной заплатки от Microsoft либо установка альтернативного серверного ПО.

После первых непродолжительных "выступлений" в июле Code Red впал в спячку до первого августа. ФБР и прочие правительственные организации США подняли настоящую интернет-тревогу, назвав вирус "угрозой национальаной безопасности". Нагнетание паники вызывало многочисленные критические заявления экспертов и даже официальный протест британского Скотланд-ярда.

При этом, как сообщает The Register, из-за шумихи вокруг Code Red многие не обратили внимания на то, что уже первая версия Code Red позволяла удаленному пользователю установить на зараженный север троянскую программу и получить полный контроль над удаленной системой.

Новая версия интернет-червя, которая делает это автоматически, была обнаружена сотрудниками американского "Института системного администрирования, сетей и безопасности" (Systems Administration, Networking and Security Institute - SANS). Точных данных о возможных или реальных последствиях распространения новой модификации CodeRed пока нет. Ясно лишь одно - теперь для полного устранения последствий деятельности вируса уже недостаточно будет просто перезагрузить сервер, поскольку при установке троянской программы ("черного хода" в систему) вредоносный код прописывается на жесткий диск сервера.

Напомним, что первая версия вируса Code Red занималась лишь тем, что устраивала DDoS-атаку на сайт Белого дома, а также вывешивала на зараженных серверах сообщение "Hacked By Chinese!" ("Взломано китайцами!"), что привело к предположениям о китайском происхождении вируса. "Старый" Code Red не прописывал себя на жестких дисках серверов и не создавал ни временных, ни постоянных файлов, существуя лишь в их оперативной памяти. Благодаря этой особенности его пребывание в системе было труднее отследить. С другой стороны, от вируса можно было избавиться, просто перезагрузив сервер.

Еще одним неприятным эффектом распространения Code Red специалисты называли снижение скорости работы зараженных серверов, а иногда и их полное зависание. Правда, компания Keynote на днях сделала заключение, что даже в моменты наивысшей активности вируса он практически не влиял на качество прохождения информации по Сети. Глобальное замедление Интернета 19 июля этого года, по мнению компании, было вызвано не вирусом Code Red, а железнодорожной катастрофой в туннеле близ Балтимора, где сошел с рельсов и загорелся поезд, груженный соляной кислотой. В результате аварии были повреждены магистральные кабели (backbones), что вызвало замедление работы Интернета по всем Соединенным Штатам.

Как сообщает "Компьюлента", удмуртский интернет-провайдер МАРК-ИТТ зафиксировал уже три случая заражения вирусом CodeRed российских серверов.

Copyright © 2000-2002 Нетоскоп www.netoscope.ru