Code Red fue un gusano informático observado en Internet el 15 de julio de 2001. Atacó computadoras que ejecutaban el servidor web IIS de Microsoft . Fue el primer ataque de amenazas mixtas a gran escala que se dirigió con éxito a redes empresariales. [1]
El gusano Code Red fue descubierto e investigado por primera vez por los empleados de eEye Digital Security, Marc Maiffret y Ryan Permeh, cuando aprovechó una vulnerabilidad descubierta por Riley Hassell. Lo llamaron "Code Red" porque estaban bebiendo Mountain Dew con el mismo nombre de sabor en el momento del descubrimiento. [2]
Aunque el gusano se lanzó el 13 de julio, el grupo más grande de ordenadores infectados se detectó el 19 de julio de 2001. Ese día, el número de hosts infectados alcanzó los 359.000. [3]
El gusano se propagó por todo el mundo, adquiriendo especial prevalencia en América del Norte, Europa y Asia (incluidas China e India). [4]
El gusano mostró una vulnerabilidad en el creciente software distribuido con IIS, descrita en el Boletín de Seguridad de Microsoft MS01-033, [5] para el cual había un parche disponible un mes antes.
El gusano se propagó utilizando un tipo común de vulnerabilidad conocido como desbordamiento del búfer . Lo hizo usando una larga cadena de la letra 'N' repetida para desbordar un buffer, permitiendo al gusano ejecutar código arbitrario e infectar la máquina con el gusano. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo y fue invitado a la Casa Blanca para descubrirlo. [6]
La carga útil del gusano incluía:
¡HOLA! ¡Bienvenido a http://www.worm.com! ¡Hackeado por chinos!
Al escanear en busca de máquinas vulnerables, el gusano no comprobó si el servidor que se ejecutaba en una máquina remota estaba ejecutando una versión vulnerable de IIS, ni siquiera si estaba ejecutando IIS. Los registros de acceso de Apache de esta época con frecuencia tenían entradas como estas:
OBTENER /default.ida? %u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078% u0000%u00=aHTTP/1.0
La carga útil del gusano es la cadena que sigue a la última 'N'. Debido a un desbordamiento del búfer, un host vulnerable interpretó esta cadena como instrucciones de la computadora, propagando el gusano.
El 4 de agosto de 2001 apareció Code Red II . Aunque usaba el mismo vector de inyección, tenía una carga útil completamente diferente . Elegía de forma pseudoaleatoria objetivos en la misma subred o en diferentes subredes que las máquinas infectadas de acuerdo con una distribución de probabilidad fija, favoreciendo objetivos en su propia subred la mayoría de las veces. Además, utilizó el patrón de repetir caracteres 'X' en lugar de caracteres 'N' para desbordar el búfer.
eEye creía que el gusano se originó en Makati , Filipinas , el mismo origen que el gusano VBS/Loveletter (también conocido como "ILOVEYOU").