Первый представитель данного семейства сетевых червей, "Code Red" (также известный под именем "Bady"), по данным ZDNet, уже заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома, вызвав нарушение его нормальной работы.

"Code Red" заражает только компьютеры под управлением Windows 2000 (без установленных сервисных пакетов), с установленным Microsoft Internet Information Server (IIS) и включенной службой индексирования (Indexing Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.

Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Code Red" посылает на случайно выбранный удаленный сервер специальный запрос дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

18 июня 2001 г. Microsoft выпустила заплатку, устраняющую данную брешь, однако подавляющее большинство пользователей еще не успело обновить свое программное обеспечение.

Важной особенностью "Code Red" является то, что в процессе работы он не использует никаких временных или постоянных файлов. Данный червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны.

Помимо значительного замедления работы зараженных компьютеров, "Code Red" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им следующую страницу:
[показать]



После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык "US English".

Во-вторых: между 20 и 27 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома США (www.whitehouse.gov). Для этого копии червя на всех зараженных компьютерах посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего данный Web-сайт.

Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер, мы рекомендуем пользователям немедленно установить "заплатку" для исправления "бреши" в системе безопасности IIS.

"CodeRed.c" (также известен, как "CodeRedII")
4 августа 2001 г. была обнаружена новая модификация червя CodeRed - CodeRed.c.

По сравнению с более ранними версиями, программный код "CodeRed.c" занимает меньше места и написан с большим знанием языка программирования Assembler. В этой версии также исправлена ошибка, которая допускала существование нескольких активных процессов червя. Эта модификация содержит строку:

CodeRedII
Данная модификация "червя" также следит за текущей датой и начиная с 1 октября 2001 года (и в любой последующий день) перезагружает компьютер.

Новая версия червя также содержит бекдор-процедуру (Backdoor). Эта процедура копирует стандартный командный процессор Windows2000 CMD.EXE под именем ROOT.EXE в два стандартных каталога IIS-сервера:

\inetpub\scripts\root.exe
\progra~1\common~1\system\MSADC\root.exe
Это позволяет удаленно управлять зараженной машиной.

Червь также создает троянскую программу (которая хранится в теле червя в упакованном виде) в корневых каталогах дисков C: и D: под именем EXPLORER.EXE, длина троянца - 8192 байт. Этот троянец:

отключает Windows File Protection, для этого записывает соответствующее значение в ключ реестра:
HKLM\SoftwareMicrosoftWindowsNtCurrentversionWinlogon\SFCDisable
открывает на полный доступ каталоги Web-сервера на дисках C: и D:.
Детальный анализ кода "CodeRed.c" показывает, что эта модификация могла быть ответом другой группы хакеров на предыдущие версии червя. В отличии от версий ".a" и ".b", здесь основной урон наносится компьютерам, на которых по умолчанию установлена китайская таблица символов. В этом случае червь запускает 600 параллельных процессов распространения вместо 300 обычных, что значительно усиливает нагрузку на пораженный сервер. Также на компьютерах с китайской таблицей символов "CodeRed.c" имеет возможность распространяться с течение 48 часов до выключения компьютера (в отличие от 24 часов а "некитайских" системах).

Эта модификация использует новый усовершенствованный алгоритм поиска целевых IP-адресов для попытки проникновения на них. Данный алгоритм выбирает для атаки в первую очередь те адреса, которые больше всего похожи на IP-адрес зараженной машины, с которой планируется произвести атаку.

В 1 из 8 случаев IP-адрес атакуемых машин будет полностью случайным. Если активная копия червя находится по адресу 192.a.b.c, то в 4 из 8 случаях червь будет пытаться атаковать все адреса из той же сети, например 192.??.??.??, а в 3 случаях из 8 - той же сети 192.xx.??.??.

Таким образом, у компьютеров в сети 192.??.??.?? (где '??' - любое число в диапазоне 0..255) больше шансов подвергнуться атаке червя, чем у любых других.

Такой механизм поиска целевых компьютеров имеет больший шанс на успех, нежели примененный в "CodeRed.a" и "CodeRed.b" метод случайного поиска.

Однако, генератор случайных IP-адресов в коде червя, по видимому, содержит ошибки, и некоторые IP-адреса в сети никогда не будут атакованы.

Инструкция по удалению троянской компоненты CodeRed II
1. Скачать и установить патч Microsoft отсюда:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
2. Удалить из памяти процесс троянца следующим образом:

2.1 Нажать одновременно CTRL-SHIFT-ESC для вызова "Диспетчера задач" ("Task manager");
2.2 Выбрать закладку "Процессы" ("Processes");
2.3 Отсортировать для удобства список процессов по имени, для чего щелкнуть по заголовку "Имя процесса" ("Image Name");
2.4 В списке задач присутствуют два процесса по имени Explorer.exe. Чтобы отличить процесс троянца, необходимо:
2.4.1 в меню "Вид" ("View") выбрать пункт "Выбрать столбцы..." ("Select column...");
2.4.2 Затем в появившемся окне поставить галочку "Счетчик потоков" ("Thread count") и нажать Ок;
2.5 В появившемся дополнительном столбце "Потоков" ("Thread") видно количество потоков, связанных с каждым процессом. Процесс троянца с именем Explorer.exe имеет только один поток. Этот процесс и нужно удалить. Для этого:
2.6 выбрать этот процесс;
2.7 нажать кнопку "Завершить процесс" ("End process");
2.8 ответить "Да" ("Yes") на заданный вопрос;
2.9 Закрыть окно "Диспетчера задач" ("Task Manager").
3. Удалить файлы explorer.exe из корневых каталогов дисков C: и D:, для чего необходимо выполнить следующее:

3.1 Дважды щелкнуть на значке "Мой компьютер" ("My computer");
3.2 Дважды щелкнуть на значке диска C:;
3.3 Если файл explorer.exe не виден, то надо выполнить следующее:
3.3.1 В меню "Сервис" ("Tools") выбрать пункт меню "Свойства папки" ("Folder options...");
3.3.2 Выбрать закладку "Вид" ("View");
3.3.3 В области "Дополнительные параметры" ("Advanced settings") найти и включить опцию "Показывать скрытые файлы и папки" ("Show hidden files and folders");
3.3.4 Найти и отключить опцию "Скрывать защищенные системные файлы (рекомендуется)" ("Hide protect operating system files (Recomended)"). На заданный вопрос ответить "Да" ("Yes");
3.3.5 Нажать OK. Все скрытые файлы станут видны.
3.4 Удалить файл explorer.exe, выделив его мышью и нажав клавишу Del и подтвердив удаление;
3.5 Повторить процедуру удаления файла с диска D:, исключая пункт 3.3.
4. Удалить подобным образом четыре файла, относящиеся к троянцу, если они существуют:

C:\inetpub\Scripts\Root.exe
D:\inetpub\Scripts\Root.exe
C:\Program files\Common Files\System\MSADC\Root.exe
D:\Program files\Common Files\System\MSADC\Root.exe
5. Теперь необходимо удалить виртуальные каталоги, созданные троянцем. Для этого необходимо:

5.1 Щелкнуть правой кнопкой мыши на значке "Мой компьютер" ("My computer") и выбрать пункт меню "Управление" ("Manage");
5.2 В окне "Управление компьютером" ("Computer managment") выбрать "Управление компьютером/Службы и приложения/Internet Information Services/<Ваш web-сервер>" ("Computer managment/Services and Applications/Internet Information Services/<Ваш web-сервер>")
5.3 Выделить виртуальный каталог "C" и нажать Del. Ответить "Да" ("Yes") на заданный вопрос.
5.4 Аналогично поступить с каталогом "D".
6. Произвести чистку реестра, для чего следует:

6.1 Запустить редактор реестра, для чего нажав кнопку "Пуск" ("Start") и выбрав пункт "Выполнить" ("Run"), ввести "regedit" и нажать Enter.
6.2 Найти ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
6.3 Выделить параметр "/C" и нажать Del. На заданный вопрос ответить "Да" ("Yes")
6.4 Аналогично удалить параметр "/D".
6.5 Дважды щелкнуть на параметре "/MSDAC" и изменить цифру в конце значения на 201.
6.6 Аналогично поступить с параметром "/Scripts"
6.7 Найти ключ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
6.8 Дважды щелкнуть на параметре "SFCDisable" и изменить его значение на 0.
7. Перезагрузить компьютер.