В начале недели в eEye поступила информация от различных источников, которые испытывали большое количество нападений, использующих недавнюю .IDA уязвимость
При первом анализе файлов регистрации, которые были посланы eEye, было очевидно, что кто-то выпустил интернет червя эксплуатирующего .ida уязвимость. В пределах файлов регистрации eEye мог видеть попытки подключения от более чем 5 тысяч IIS 5 серверов сети, посылающий .IDA эксплоит каждому из них. Также было ясно, что зараженные компьютеры использовались, для нападения на другие компьютеры. EEye обозначили этот.IDA "Code Red" червь, потому что часть червя разработана, lkz замены web-страницы с текстом "Hacked by Chinese".
При запуске эксплоита, он использует .ida переполнение буфера с исполнением кода с системными привилегиями на удаленной машине.
Червь исполняет следующее на инфицированных системах:
Порождает 100 потоков, для инфицирования новых серверов IIS.
проверяет существование c:\notworm и если этот файл найден, он пробует размножить себя на другие компьютеры.
Дефейсит Web site следующим содержимым:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=English"><title>HELLO!</title></head><bady><hr size=5><font color="red"><p align="center">Welcome to
http://www.worm.com
!<br><br>Hacked
By Chinese!</font></hr></bady></html>
После заражения, инфицированный компьютер порождает 100 потоков в цикле. Этот цикл проверяет существование c:\notworm и если файл не существует, тогда червь переходит к просмотру уязвимых серверов, для последующего инфицирования. Червь просматривает случайные IP адреса. Однако, червь использует всегда одно и тоже начальное число для "рандомизации" Ip адресов. Это означает, что каждый новый инфицированный компьютер, начнет просматривать сервера, начиная с одинаковых IP и продолжит просматривать далее вниз той же самой дорожки IP, как любой другой инфицированный компьютер. Это создает потенциал для отказа в обслуживании против ранних IP адресов в последовательности, при возрастании числа инфицированных компьютеров. Кроме того, доказано, что компьютеры могут быть инфицированы несколько раз, и это создает утечку системных ресурсов. Как показали испытания, некоторые инфицированные системы продолжают порождать новые потоки, пока системные ресурсы не становятся настолько низкими, что приводит к неработоспособности сервера.
При инфицировании червь посылает следующий запрос, который можно считать подписью червя:
/default.ida?NNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090
%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9
090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=aHTTP/1.0