В Сеть запущены два интернет-червя, которые самостоятельно обнаруживают и устраняют последствия деятельности червя CodeRed II.
Как сообщает NewsBytes, в субботу в одной из рассылок, посвященных компьютерной безопасности, появились сообщения сразу двух людей о том, что ими созданы лечебные интернет-черви. Автор червя CodeGreen, подписывающийся как Der HexXer, сообщил, что его детище самостоятельно сканирует Интернет в поисках серверов, работающих под Microsoft IIS, и выявляет машины, зараженные вирусом CodeRed II.
Напомним, что деструктивные действия "первого" CodeRed состояли в организации DDoS-атаки на сайт Белого Дома и в замене главной страницы зараженного сервера на свою. Следующая версия червя, CodeRed II, кроме этого, создает дверь "черного хода" для несанкционированного доступа на сервер.
Попадая на зараженную машину, CodeGreen устраняет "черный ход", скачивает с сайта Microsoft патч для дыры, через которую CodeRed II совершает атаку, и лечит сервер. После чего излеченная машина сама становится распространителем "лечебной пиявки".
Другой червь CRclean, по словам его автора Маркуса Керна, является "пассивно распространяющимся червем". Он начинает действовать только в том случае, если на машину, где он обитает, начинается атака. В этом случае червь проникает в атакующую систему, стирает "черный ход", лечит север и прописывает себя в систему, которая отныне также становится носителем "противоядия" против CodeRed. По уверениям автора, если север, на жестком диске которого расположился CRclean, будет перезагружен после ноября 2001 года, червь самоуничтожится.
Несмотря на давно ведущиеся споры об этичности такой борьбы по принципу "лучшая защита - нападение", этот способ в последнее время приобретает все большую популярность среди программистов-доброхотов. Совсем недавно, в конце мая, по Сети стал распространяться лечебный червь Cheese ("Сыр"), который устранял последствия деятельности другого червя Lion ("Лев"). Lion воровал пароли и настройки DNS-серверов, работающих под управлением Linux, и устанавливал на них скрытые хакерские утилиты. С помощью этих данных и утилит можно свободно устраивать дефейсы веб-страниц в пределах обслуживания данного DNS-сервера.
Еще раньше, в январе этого года, объявился интернет-червь Ramen, лечебное действие которого сопровождалось и некоторыми вредоносными действиями. Атаковав сервер, червь "вакцинировал" машину от повторных атак, закрывая дыру в защите Linux Red Hat. В то же время он заменял на зараженной машине все файлы с именем "index.html" на один собственный с тем же именем. Новая страница была озаглавлена как "RameN Crew" и содержала надпись "Hackers looоооооооoove noodles" что в зависимости от интерпретации слова "noodles" можно перевести как "Хакеры любят лапшу" (упаковка изображена под надписью) или как "Хакеры любят олухов".