Código rojo (gusano informático)

Gusano informático

Code Red fue un gusano informático detectado en Internet el 15 de julio de 2001. Atacó a equipos que ejecutaban el servidor web IIS de Microsoft . Fue el primer ataque de amenaza mixta a gran escala que tuvo como blanco con éxito redes empresariales. ^[1]

El gusano Code Red fue descubierto e investigado por primera vez por los empleados de eEye Digital Security Marc Maiffret y Ryan Permeh cuando explotó una vulnerabilidad descubierta por Riley Hassell. Lo llamaron "Code Red" porque estaban bebiendo Mountain Dew con el mismo nombre de sabor en el momento del descubrimiento. ^[2]

Aunque el gusano había sido liberado el 13 de julio, el grupo más grande de computadoras infectadas fue visto el 19 de julio de 2001. Ese día, el número de hosts infectados alcanzó los 359.000. ^[3]

El gusano se propagó por todo el mundo, volviéndose particularmente frecuente en América del Norte, Europa y Asia (incluidas China e India). ^[4]

Concepto

Vulnerabilidad explotada

El gusano mostró una vulnerabilidad en el software distribuido con IIS, descrita en el Boletín de Seguridad de Microsoft MS01-033, ^[5] para el cual había estado disponible un parche un mes antes.

El gusano se propagó utilizando un tipo común de vulnerabilidad conocida como desbordamiento de búfer . Lo hizo utilizando una larga cadena de la letra 'N' repetida para desbordar un búfer, lo que le permitió ejecutar código arbitrario e infectar la máquina con el gusano. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo y fue invitado a la Casa Blanca para su descubrimiento. ^[6]

Carga útil del gusano

La carga útil del gusano incluía:

• Desfigurar el sitio web afectado para mostrar:

¡HOLA! ¡Bienvenido a http://www.worm.com! ¡Hackeado por chinos!

• Otras actividades basadas en el día del mes: ^[7]
  • Días 1-19: Intentando propagarse buscando más servidores IIS en Internet.
  • Días 20 a 27: Lanzamiento de ataques de denegación de servicio en varias direcciones IP fijas. Entre ellas, la dirección IP del servidor web de la Casa Blanca . ^[3]
  • Día 28-fin de mes: Duerme, sin ataques activos.

Al escanear en busca de máquinas vulnerables, el gusano no probó si el servidor que se ejecutaba en una máquina remota estaba ejecutando una versión vulnerable de IIS, o incluso si estaba ejecutando IIS. Los registros de acceso de Apache de esta época con frecuencia tenían entradas como estas:

OBTENER /default.ida?NN ... NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

La carga útil del gusano es la cadena que sigue a la última "N". Debido a un desbordamiento del búfer, un host vulnerable interpretó esta cadena como instrucciones de computadora y propagó el gusano.

Gusanos similares

El 4 de agosto de 2001 apareció Code Red II . Aunque utilizaba el mismo vector de inyección, tenía una carga útil completamente diferente . Elegía de forma pseudoaleatoria objetivos en la misma o en diferentes subredes que las máquinas infectadas según una distribución de probabilidad fija, favoreciendo a los objetivos de su propia subred la mayoría de las veces. Además, utilizaba el patrón de repetición de caracteres "X" en lugar de "N" para desbordar el búfer.

eEye creía que el gusano se originó en Makati , Filipinas , el mismo origen que el gusano VBS/Loveletter (también conocido como "ILOVEYOU").

Véase también

• Gusano Nimda
• Cronología de los virus y gusanos informáticos

Referencias

1. Trend Micro. "Prevención y gestión empresarial de ataques de amenazas mixtas" (PDF) .
2. ANÁLISIS: Gusano .ida "Code Red" (copia archivada el 22 de julio de 2011), aviso de la Euaa, eEye Digital Security, 17 de julio de 2001
3. Moore, David; Shannon, Colleen (c. 2001). "La propagación del gusano Code-Red (CRv2)". Análisis CAIDA . Consultado el 3 de octubre de 2006 .
4. "Descubrimientos - Vídeo - La propagación del gusano Código Rojo". Fundación Nacional de la Ciencia .
5. MS01-033 "Boletín de seguridad de Microsoft MS01-033: Un búfer sin comprobar en la extensión ISAPI del servidor de índice podría permitir la vulneración del servidor web", Microsoft Corporation, 18 de junio de 2001
6. Lemos, Rob. "Un gusano virulento pone en duda nuestra capacidad para proteger la red". Código rojo de seguimiento . CNET News. Archivado desde el original el 17 de junio de 2011. Consultado el 14 de marzo de 2011 .
7. "CERT Advisory CA-2001-19: Gusano 'Code Red' que explota el desbordamiento de búfer en la DLL del servicio de indexación de IIS". CERT/CC . 17 de julio de 2001 . Consultado el 29 de junio de 2010 .

Enlaces externos

• Análisis de Code Red II, Unixwiz.net de Steve Friedl, última actualización: 22 de agosto de 2001
• Análisis CAIDA de Code-Red, Asociación Cooperativa para el Análisis de Datos de Internet (CAIDA) en el Centro de Supercomputación de San Diego (SDSC), actualizado en noviembre de 2008
• Animación que muestra la propagación del gusano Code Red el 19 de julio de 2001, por Jeff Brown, UCSD , y David Moore, CAIDA en SDSC