В начале недели в eEye
поступила информация от различных
источников, которые испытывали большое
количество нападений, использующих
недавнюю .IDA уязвимость, о которой писал
Хакер.
При первом анализе файлов регистрации,
которые были посланы eEye, было очевидно, что
кто-то выпустил интернет червя
эксплуатирующего .ida уязвимость. В пределах
файлов регистрации eEye мог видеть попытки
подключения от более чем 5 тысяч IIS 5
серверов сети, посылающий .IDA эксплоит
каждому из них. Также было ясно, что
зараженные компьютеры использовались, для
нападения на другие компьютеры. EEye
обозначили этот червь как .IDA "Code Red"
червь, потому что часть червя разработана
для замены web-страницы текстом "Hacked by Chinese".
При запуске эксплоита, он использует .ida
переполнение буфера с исполнением кода с
системными привилегиями на удаленной
машине. Червь исполняет следующее на
инфицированных системах:
Порождает 100 потоков, для инфицирования
новых серверов IIS.
Проверяет существование c:\notworm и если этот
файл найден, он пробует размножить себя на
другие компьютеры.
Дефейсит Web site следующим содержимым:
<html><head><meta http-equiv="Content-Type" content="text/html;
charset=English"><title>HELLO!</title></head><bady><hr
size=5><font color="red"><p align="center">Welcome
to http://www.worm.com!<br><br>Hacked
By Chinese!</font></hr></bady></html>
После заражения, инфицированный компьютер
порождает 100 потоков в цикле. Этот цикл
проверяет существование c:\notworm и если файл
не существует, тогда червь переходит к
просмотру уязвимых серверов, для
последующего инфицирования. Червь
просматривает случайные IP адреса. Однако,
червь использует всегда одно и тоже
начальное число для "рандомизации" Ip
адресов. Это означает, что каждый новый
инфицированный компьютер, начнет
просматривать сервера, начиная с
одинаковых IP и продолжит просматривать
далее вниз той же самой дорожки IP, как любой
другой инфицированный компьютер. Это
создает потенциал для отказа в
обслуживании против ранних IP адресов в
последовательности, при возрастании числа
инфицированных компьютеров. Кроме того
доказано, что компьютеры могут быть
инфицированы несколько раз, и это создает
утечку системных ресурсов. Как показали
испытания, некоторые инфицированные
системы продолжают порождать новые потоки,
пока системные ресурсы не становятся
настолько низкими, что приводит к
неработоспособности сервера.
При инфицировании червь посылает следующий
запрос, который можно считать подписью
червя:
/default.ida?NNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090
%u6858%ucbd3%u7801%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9
090%u8190%u00c3%u0003%u8b00%u531b %u53ff%u0078%u0000%u00=aHTTP/1.0
