В выходные по Сети начала распространяться новая, модифицированная версия широко прославившегося интернет-червя Code Red.
В отличие от своего прародителя, единственной задачей которого была организация DDoS-атаки на сайт Белого Дома, вирус Code Red-2 пришивает к системе троянскую программу, позволяющую удаленному пользователю получать системный доступ и устанавливать полный контроль над сервером.
Червь Code Red в любой модификации не опасен для конечных пользователей, даже если их компьютер поключен к Сети. Это напоминание кажется особенно актуальным в связи с возникающими в СМИ сообщениях о том, что "опаснейший вирус RedCode поражает компьютеры, на которых установлены операционные системы Windows 2000/NT".
На самом деле, червь поражает только компьютеры, работающие под англоязычными версиями ОС Widows NT/2000, на которых установлено серверное ПО Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Вирус эксплуатирует дыру Indexing Service и потому опасен именно для серверов, а не для конечного пользователя. Главным профилактическим средством борьбы с распространением Code Red является установка бесплатной заплатки от Microsoft либо установка альтернативного серверного ПО.
После первых непродолжительных "выступлений" в июле Code Red впал в спячку до первого августа. ФБР и прочие правительственные организации США подняли настоящую интернет-тревогу, назвав вирус "угрозой национальаной безопасности". Нагнетание паники вызывало многочисленные критические заявления экспертов и даже официальный протест британского Скотланд-ярда.
При этом, как сообщает The Register, из-за шумихи вокруг Code Red многие не обратили внимания на то, что уже первая версия Code Red позволяла удаленному пользователю установить на зараженный север троянскую программу и получить полный контроль над удаленной системой.
Новая версия интернет-червя, которая делает это автоматически, была обнаружена сотрудниками американского "Института системного администрирования, сетей и безопасности" (). Точных данных о возможных или реальных последствиях распространения новой модификации CodeRed пока нет. Ясно лишь одно - теперь для полного устранения последствий деятельности вируса уже недостаточно будет просто перезагрузить сервер, поскольку при установке троянской программы ("черного хода" в систему) вредоносный код прописывается на жесткий диск сервера.
Напомним, что первая версия вируса Code Red занималась лишь тем, что устраивала DDoS-атаку на сайт Белого дома, а также вывешивала на зараженных серверах сообщение "Hacked By Chinese!" ("Взломано китайцами!"), что привело к предположениям о китайском происхождении вируса. "Старый" Code Red не прописывал себя на жестких дисках серверов и не создавал ни временных, ни постоянных файлов, существуя лишь в их оперативной памяти. Благодаря этой особенности его пребывание в системе было труднее отследить. С другой стороны, от вируса можно было избавиться, просто перезагрузив сервер.
Еще одним неприятным эффектом распространения Code Red специалисты называли снижение скорости работы зараженных серверов, а иногда и их полное зависание. Правда, компания на днях сделала заключение, что даже в моменты наивысшей активности вируса он практически не влиял на качество прохождения информации по Сети. Глобальное замедление Интернета 19 июля этого года, по мнению компании, было вызвано не вирусом Code Red, а железнодорожной катастрофой в туннеле близ Балтимора, где сошел с рельсов и загорелся поезд, груженный соляной кислотой. В результате аварии были повреждены магистральные кабели (backbones), что вызвало замедление работы Интернета по всем Соединенным Штатам.
Как сообщает "Компьюлента", удмуртский интернет-провайдер МАРК-ИТТ зафиксировал уже три случая заражения вирусом CodeRed российских серверов.
Copyright © 2000-2002 Нетоскоп