కోడ్ రెడ్ (కంప్యూటర్ వార్మ్)

కోడ్ రెడ్ అనే కంప్యూటర్ వార్మ్ ని 2001 జూలై 15 న ఇంటర్నెట్ లో గమనించడం జరిగింది . ఇది మైక్రోసాఫ్ట్ ఐ ఐ ఎస్ వెబ్ సర్వర్ కు సంధానించిన కంప్యూటర్లపై దాడి చేసింది.

A bottle of Mountain Dew Code Red, after which the worm was named.

మొదటి సారి ఈ వార్మ్ ని పరిశీలించి , పరిశోధించింది ఈఐ డిజిటల్ సెక్యూరిటీ ఉద్యోగులు మార్క్ మైఫ్ఫెర్ట్, ర్యాన్ పెర్మెహ్ లు. ఒక దుర్భలత్వాన్ని ఆసరాగా చేసుకుని దోపిడీకి పాల్పడ్డ కోడ్ రెడ్ వార్మ్ ను మొదటగా గమనించింది రీలే హాసెల్. ఆ సమయంలో వారు కోడ్ రెడ్ మౌంటెన్ డ్యూ అనే పానియం తాగుతున్నందున వారు దీనికి "కోడ్ రెడ్" అని పేరు పెట్టారు.[1]

ఈ వార్మ్ జూలై 13 న విడుదలైనప్పటికీ, దీని భారిన పడిన కంప్యూటర్ల అతిపెద్ద సమూహం 2001 జూలై 19 న కనిపించింది. ఆ రోజున ఈ వార్మ్ భారిన పడిన వాటి సంఖ్య 359,000 కు చేరింది.

దోపిడీకి గురయ్యే దుర్బలత్వం

మార్చు

ఈ వార్మ్ IIS తో పంపిణీ చేసిన పెరుగుతున్న సాఫ్ట్‌వేర్‌లో ఒక దుర్భలత్వాన్ని బయట పెట్టింది. దీని గురించి మైక్రోసాఫ్ట్ తన సెక్యూరిటీ బులెటిన్ MS01-033 లో వివరించింది. ఒక నెల ముందు నుండే దీనిని నిరోధించే ఒక పాచ్ అందుబాటులో ఉంచింది.

ఈ వార్మ్, బఫర్ ఓవర్ఫ్లో అని పిలువబడే ఒక సాధారణమైన దుర్బలత్వాన్ని ఉపయోగించి వ్యాపించింది. బఫర్‌ను పొంగి ప్రవహింపచేయడానికి 'N' అనే అక్షరం పదేపదే సాగ తీతగా ఉపయోగించి ఇది సాధించింది. ఈ కోడ్‌ను అమలు చేయడానికి, యంత్రాన్ని నిర్వీర్యం చేయటానికి ఈ వార్మ్ కి ఏకపక్షమైన అనుమతి లభిస్తుంది. కెన్నెత్ డి. ఐచ్మాన్ దీనిని ఎలా నిరోధించాలో మొదట కనుగొన్నాడు, ఆ ఆవిష్కరణ చేసినందుకు అతను వైట్ హౌస్ నుంచి ఆహ్వానం అందుకున్నాడు.

వార్మ్ పేలోడ్

మార్చు

వార్మ్ యొక్క పేలోడ్:

  • ఇలా ప్రదర్శించడానికి ప్రభావిత వెబ్‌సైట్‌ను డిఫేసింగ్ చేస్తుంది :
హలో! Http://www.worm.comకు స్వాగతం! చైనీస్ చేత హ్యాక్ చేయబడింది!
  • నెల రోజు ఆధారంగా ఇతర కార్యకలాపాలు:[2]
    • రోజులు 1-19: ఇంటర్నెట్‌లో మరిన్ని ఐఐఎస్ సర్వర్‌ల కోసం వెతకడం ద్వారా వ్యాప్తి చెందడానికి ప్రయత్నిస్తోంది.
    • రోజులు 20–27: అనేక స్థిర ఐపి చిరునామాల సేవలను తిరస్కరించడం ద్వారా దాడులు. వైట్ హౌస్ వెబ్ సర్వర్ యొక్క IP చిరునామా వాటిలో ఒకటి.[3]
    • నెల 28 రోజులు: నిద్రాణంగా ఉంది, చురుకైన దాడులు లేవు.

హాని చేసే యంత్రాల కోసం స్కానింగ్ చేస్తున్నప్పుడు, రిమోట్ మెషిన్ పై నడుస్తున్న సర్వర్, IIS యొక్క హాని కలిగించే సంస్కరణను నడుపుతుందో లేదో, లేదా అది IIS ను నడుపుతుందా అని కూడా వార్మ్ పరీక్షించలేదు. అప్పటికే అపాచీ యాక్సెస్ లాగ్‌లో తరచూ ఇలాంటి ఎంట్రీలు కనిపించాయి:

GET /default.ida? NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
% u9090% u6858% ucbd3% u7801% u9090% u6858% ucbd3% u7801
% u9090% u6858% ucbd3% u7801% u9090% u9090% u8190% u00c3
% u0003% u8b00% u531b% u53ff% u0078% u0000% u00 = ఒక HTTP / 1.0 

చివరి ' N ' ను అనుసరించిన అక్షరరూపమే ఈ వార్మ్ యొక్క పేలోడ్. బఫర్ ఓవర్ ఫ్లో కారణంగా, హాని కలిగించే హోస్ట్ ఈ స్ట్రింగ్‌ను కంప్యూటర్ సూచనలుగా వివరించి, ఈ వార్మ్(క్రిమి) వ్యాప్తికి తోడ్పడుతుంది.

ఇలాంటి వార్మ్స్

మార్చు
2001 ఆగస్టు 4 న, కోడ్ రెడ్ II కనిపించింది. ఇది అదే ఇంజెక్షన్ వెక్టర్‌ను ఉపయోగించినప్పటికీ, దీనికి పూర్తిగా భిన్నమైన పేలోడ్ కలిగి ఉంది . ఇది స్థిరమైన సంభావ్యత పంపిణీ ప్రకారం దుష్ప్రభావానికి లోనైన యంత్రాల వలె అదే లేదా భిన్నమైన సబ్‌నెట్‌లపై నకిలీ లేదా యాదృచ్ఛికంగా లక్ష్యాలను ఎంచుకుంది, దాని స్వంత సబ్‌నెట్‌లో లక్ష్యాలను తరచుగా కాకుండా అనుకూలంగా చేస్తుంది. అదనంగా, ఇది బఫర్‌ను ఓవర్‌ఫ్లో చేయడానికి 'N' అక్షరాలకు బదులుగా 'X' అక్షరాలను పునరావృతం చేసే నమూనాను ఉపయోగించింది.

ఈ వార్మ్ ఫిలిప్పీన్స్‌లోని మకాటి సిటీలో ఉద్భవించిందని, అదే మూలానికి VBS / Loveletter (aka "ILOVEYOU") వార్మ్‌ కూడా చెందుతుంది.

ఇది కూడ చూడు

మార్చు
  • నిమ్డా వార్మ్
  • కంప్యూటర్ వైరస్లు, క్రిముల కాలక్రమం

ప్రస్తావనలు

మార్చు
  1. ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011), Code Red advisory, eEye Digital Security, 17 July 2001
  2. "CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL". CERT/CC. 17 July 2001. Retrieved 2010-06-29.
  3. "The Spread of the Code-Red Worm (CRv2)". CAIDA Analysis. Retrieved 2006-10-03.