Interested Article - Code Red II

Code Red II (также ошибочно известен как CRv3 или Code Red 3.0 ) — сетевой червь , появившийся утром в субботу 4 августа 2001 года — несколько позже вируса Code Red .

Хотя можно подумать, что этот червь является вариантом Code Red, но на деле это два разных червя, которые распространяются с помощью разных алгоритмов и содержат разную полезную нагрузку .

Ошибочное название вируса

Code Red II часто называют Code Red 3.0 или CRv3 по той причине, что его часто ошибочно принимают за новую версию Code Red, хотя у «первого» червя было только две версии .

Схема работы

Алгоритм генерации IP-адресов и распространения Code Red II больше направлен на заражение машин из той подсети, что и заражённая машина, этот алгоритм был хорош для заражения пользователей с кабельными модемами . Хотя это и маловероятно, но пользователь может получить оба червя Code Red .

В 1 из 8 случаев червь сгенерирует случайный IP-адрес, не входящий ни в один из диапазонов локального IP-адреса, в половине случаев он будет оставаться в пределах одного и того же диапазона класса A локального IP-адреса, а в 3 из 8 случаев он будет оставаться в том же диапазоне класса B локального IP-адреса. Если сгенерированный IP-адрес будет начинаться с числа 127 или 224 или будет совпадать с адресом локальной системы, то будет сгенерирован новый адрес .

При заражении червь также проверяет, не является ли локальным языком машины китайский , а также не установлен ли на ней «атом» «CodeRedII»: если да, то вирус засыпает, в противном случае вирус устанавливает атом и продолжает свою работу. Он создаёт троян explorer.exe, через который злоумышленник может удалённо получить доступ к серверу .

После своей работы червь спит 1 день (2 дня, если язык на системе китайский), после чего перезагружает Windows .

И Code Red, и Code Red II используют одну и ту же уязвимость в Internet Information Services . Microsoft выпустил патч , где уязвимость была исправлена, ещё в середине июня того же года — за месяц до появления обоих вирусов. В конце июля, уже после пробуждения Code Red, была организована кампания по призыву пользователей установить этот патч .

Сигнатура Code Red II, отображающаяся в журнале веб-сервера:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff %u0078%u0000%u00=a HTTP/1.0

От сигнатуры Code Red она отличается тем, что символы «N» заменены на «X» .

См. также

  • Nimda — червь, использовавший бэкдоры , оставленные после Code Red II

Примечания

  1. . Unixwiz.net. Дата обращения: 14 мая 2022. Архивировано из 13 декабря 2019 года.
  2. . . Дата обращения: 14 мая 2022. Архивировано из 5 декабря 2004 года.
  3. . PC World. Дата обращения: 14 мая 2022. Архивировано из 27 апреля 2007 года.
Источник —

Same as Code Red II