Эпидемия червя Code Red.

Журнал "Компьютерра" 01.08.2001
Евгений Золотов

Эпидемия червя Code Red, заражению которым с 12 по 19 июля подверглись несколько сотен тысяч серверов, вызвала самые серьезные опасения не только у компаний, непосредственно связанных с Интернетом, но и на правительственном уровне - в Белом Доме и в ФБР. Сегодня эти ведомства совместно с корпорацией Microsoft планируют провести пресс-конференцию, на которой представят комплекс мер по борьбе с возникшей угрозой.
Напомним, что появление Code Red в Сети приходится на 12-13 июля. Этот червь использует одну из дыр в Microsoft Internet Information Server, которая позволяет захватить управление сервером, направив ему особым образом отформатированный запрос на. После заражения Code Red меняет главную страницу пораженного сайта на страницу с надписью "Hacked by Chinese!", дальнейшие его действия зависят от текущей даты. С 1 по 19 число каждого месяца червь случайным образом ищет в Интернете уязвимые серверы и поражает их, причем заражаются исключительно англоязычные сайты. С 20 числа и до окончания месяца червь пытается произвести DoS-атаку на сервер Белого Дома по его IP-адресу.
Точное число зараженных машин остается неизвестным, однако некоторым компаниям удалось определить число атак на свои сети. Например, по данным Chemical Abstracts Service, в момент пиковой активности Code Red 19 июля число атак достигло 350 тыс. Падение числа атак 20 июля связано с переключением червя на DoS-атаку.
Эксперты считают, что принятые меры безопасности (сервер Белого Дома был перенесен на другой IP-адрес), распространение предупреждений об опасности и заплаток для IIS, и не в последнюю очередь ошибки в самом Code Red делают его дальнейшее распространение маловероятным. В то же время появление аналогичных "зверей" в будущем сможет серьезно навредить Сети, например, замедлить ее работу или вовсе отключить некоторые сегменты Интернета.

Наш комментарий:

Эпидемия Code Red, действительно пошла на спад, и причина тому - механизм работы вируса, предусматривающий репликацию только в период с 1 по 20 числа каждого месяца. В остальное время вирус “отдыхает”, занимаясь отсылкой стакилобайтных пакетов по адресу американского Белого дома и бесполезной тратой машинного времени. Именно этим объясняется столь резкое падение его активности.
Однако, если эксперты по компьютерной безопасности Белого дома почти спокойны - ценой совсем небольших усилий им удалось ограничить воздействие Code Red на подконтрольные сервера - то антивирусные эксперты Сети их спокойствия не разделяют. Темпы развития эпидемии наглядно продемонстрировали чрезвычайно низкую информированность владельцев IIS-серверов и их обеспокоенность безопасностью своего оборудования. А потому уже в среду следует ожидать очередного витка “краснухи” - ибо большинство из владельцев заражённых трёхсот пятидесяти тысяч машин (примерно столько компьютеров по некоторым данным пало на первом витке эпидемии; вдумайтесь в эту цифру !) наверняка даже не подозревают о притаившейся на их компьютерах заразе.
Как считают косвенные виновники всего происшедшего, специалисты компании eEye Digital Security, всего месяц назад раскрывшие брешь в IIS, которой и пользуется Code Red, второй виток может привести к тому, что из Всемирной сети будут выпадать целые сегменты, ведь количество компьютеров, потенциально подверженных вирусу оценивается в шесть миллионов - и это только предварительные оценки Microsoft.
Озаботиться проблемой следует и домашним пользователям компьютеров: в случае, если на вашей машине работает Microsoft Windows и установлен персональный веб-сервер, не поленитесь заглянуть на сайт Microsoft за заплаткой. В свете огромных масштабов любая предосторожность не кажется излишней.