آشنایی با ویروس Code Red

طبق گزارش مسوولان مركز هماهنگی   CERT كرم شروری به نام كد قرمز (Code Red) از نقطه ضعف سر ریز شدن بافر در برخی از پیكربندیهای سیستم عامل ویندوز NT و ویندوز 2000 شركت مایكروسافت استفاده كرده و به سرعت در اینترنت انتشار می یابد.

این سازمان اعلام كرده كه تا كنون در حدود 225000 كامپیوتر به این كرم آلوده شده اند. طبق اظهارات مسوولان این سازمان در پیتسبورگ كد قرمز از نقطه ضعف سر ریز شدن بافر IIs Indexing service DLL استفاده می كند گفته می شود كه این نقطه ضعف در بیشتر نسخه های  IIS4,IIS5 وجود دارد . بر اساس اعلامیه ای كه روز 19 ژوئن درباره این مشكل صادر شد سر ریز شدن بافر سبب می شود كه كرم مهاجم كنترل تمامی بخشهای سیستمی را كه مورد هدف قرار گرفته است به دست گیرد. اگر زبان پیش فرض میزبان آلوده شده انگلیسی باشد كد قرمز تمام صفحات وبی را كه میزبان ارایه می كند دفرمه كرده و به جای آنها پیام HELLO W!Welcome to http://www.worm.com!hackedbyChiness! را به نمایش در می آورد.

مسوولان CC/CERT اظهار داشتند كه این كرم علاوه بر دفرمه كردن تمام صفحات وب كارآیی كلی سیستم را به میزان فاحشی كاهش داده و در تلاش برای انتشار خود میزبانهای دیگر را اسكن می كند. اگر زبان پیش فرض میزبان انگلیسی نباشد كرم به اسكن ادامه می دهد اما صفحات وب را دفرمه نمی كند .
طبق اظهارات مقامات مركز CC/CERT كد قرمز همچنین می تواند حملات خود را به صورت "خودداری سرور از ارایه خدمات" انجام داده و سیستمها  و شبكه هایی را كه به مخاطره نیفتاده اند برای یافتن نقطه ضعف سرریز شدن بافر IIs Indexing service DLL   اسكن می كند .حمله "خودداری سرور از ارایه خدمات" به این دلیل می تواند به وقوع پیوند كه كد قرمز از همان هسته مولد اعداد تصادفی كه برای تولید لیست آدرسهای IP كه مورد اسكن قرار می گیرند استفاده می كند. مقامات CERT اظهار داشتند كه در نتیجه تمام میزبانهای آلوده شده همان آدرسهای IP را اسكن می كنند . مركز ملی حمایت از ساختار زیربنایی ملی (NIPC) كه یكی از سازمانهای وابسته به اف. بی.آی است اعلام كرد كه وب سایت كاخ سفید نیز مورد حمله "خودداری سرور از ارایه خدمات" این كرم قرار گرفته است.
 طبق اظهارات مقامات NIPC كد قرمز با ارسال 100 اتصال همزمان به سرور كاخ سفید به این سایت حمله كرد. پل داكلین رییس پشتیبانی جهانی شركت سوفوس پی تی كه تولید كننده نرم افزار ضد ویروس است اظهار داشت: به نظر می رسد كه این كرم به نحوی برنامه ریزی شده است كه به كامپیوتر با آدرس 198.137.240.91 حمله كند. این تنها یكی از كامپیوترهایی است كه خدمات " www.whitehouse.gov "  را  ارایه می دهد . بعد از حمله كرم كد قرمز ارتباط این كامپیوتر با وب سایت www.whitehouse.gov قطع شد تا سایت بتواند به درستی به كار خود ادامه دهد.

تامین كنندگان خدمات اینترنتی نیز برای متوقف كردن تلاش این كرم در قطع خدمات به مشتریان داوطلب شدند . داكلین به تكنیكی اشاره كرد كه در آن تامین كنندگان خدمات اینترنتی بسته هایی را كه آدرس IP خاصی دارند دور ریخته یا نادیده می گیرد او در این رابطه اظهار داشت : همچنین بسیاری از تامین كنندگان خدمات اینترنتی این آدرس را بی اثر كردند این روش دفاعی در این مورد موثر بود چون كد قرمز قادر است تعداد زیادی بسته های اینترنتی غیر ضروری را تولید كند.

مركز NIPC آسیب پذیری در خدمات Indexing Service DLL را یك خطر بزرگ خوانده و افزود كه كارشناسان این مركز تصور می كنند ویروس های دیگری نیز در آینده از این نقطه ضعف امنیتی استفاده خواهند كرد. آقای داكلین اظهار داشت برای مقابله با حملات این كرم و جلوگیری از انتشار بیشتر آن كاربران باید از نرم افزار ترمیمی (PATCH) شركت مایكروسافت كه برای حل این مشكل امنیتی به وجود آمده است استفاده كنند. او افزود كه این نرم افزار ترمیمی باید بتواند به طور گسترده مورد استفاده قرار گیرد تا از انتشار كرم جلوگیری كند .

داكلین اظهار داشت: اگر فقط درصد كمی از كاربران از این نرم افزار ترمیمی استفاده كنند كد قرمز به انتشار و افزایش ترافیك اینترنت ادامه خواهد داد . خوشبختانه تلاش كد قرمز برای آغاز حمله "خودداری سرور از ارایه خدمات" در وب سایت كاخ سفید به كاربران فرصت كافی داد تا سیستم های خود را به نرم افزار ترمیمی مجهز كنند. آقای داكلین در خاتمه افزود : چون این كرم فقط در حافظه به حیات خود ادامه می دهد روی هارد دیسك شما یك كپی دائمی از خود نمی سازد پس از نصب برنامه ترمیمی راه اندازی مجدد كامپیوتر نه تنها شما را از شر كرم خلاص می كند بلكه عدم آلودگی مجدد كامپیوتر شما به این كرم را تضمین می كند بنابراین این عمل برای سایت شما  جامعه اینترنت و همچنین در كل برای همه مردم دنیا خوب است .

اما گونه جدید و خطرناكتر كرم Code Red كه به تازگی منتشر شده است كه می تواند برای تمام سرورهای آسیب پذیر مایكروسافت تهدید جدی باشد . این كرم یك اسب تروا را به سرور اضافه می كند كه در صورت فعال شدن آن هر كاربر با یك مرورگر وب امكان نفوذ به سرور آلوده را پیدا می كند آخرین نسخه این كرم نیز همانند نسخه های قبلی خود با تكثیر بیش از حد خود در بافر سرورهای وب آسیب پذیر مایكروسافت باعث سر ریز شدن آنها می شود . گونه جدید كه توسط تحلیلگران امنیتی Code Red II نام گرفت است به اسب تروا پنهان شده در پوسته Explorer.exe امكان می دهد كه روی آن دسته از سرورهای وب IIS كه توسط بسته های ترمیمی Microsoft service pack II حفاظت نشده اند بار گذاری شود . به گفته راس كوپر دبیر یك گروه خبری امنیت Online به نام Ntbugtrak Retreat و كارشناس امنیتی گونه اخیر Code Red نسبت به نسخه های قبلی آن بسیار خطرناكتر است .به گفته كوپر این كرم با برنامه ای كاملا متفاوتی نوشته شده است گروه كارشناسان امنیتی كه برای اولین بار Code Red II را تشخیص دادند معتقدند كه این كرم توسط گروه 29A (نام مستعار گروهی از نفوذ گران) نوشته شده است بنا به گفته نویسنده این ویروس Code Red II می تواند یك دایركتوری مجازی وب را بر روی Microsoft web server نصب كند و با این كار تمام فایل های این سرور را در دسترس هر كسی بگذارد كه یك مرورگر وب در اختیار دارد . كوپر می گوید تشخیص این مساله كه كدام یك از سیستم های سخت افزاری در معرض خطر حمله این كرم هستند كار بسیار ساده ای است.

آخرین نسخه این كرم بر خلاف نسخه های قبلی آن – كه برای آسیب رساندن می توانستند ماهها غیر فعال بمانند و سیكل فعالیت آنها نیز بسیار طولانی بود چرخه ای 24 ساعته دارد. او معتقد است كه 3 گروه از كاربران وجود دارند كه نرم افزار اصلاحی مناسب را بر روی سرورهای مایكروسافت خود نصب نكرده اند . گروه اول كاربران خانگی یا بنگاههای كوچك هستند كه عموماً از سرویس های اینترنتی با سرعت بالا مانند home@ یا Road Runner استفاده می كنند. گروه دوم شركتهایی هستند كه فراموش كرده اند كه سرورهای وب قدیمی تر بر روی اینترنت آنها وجود دارد و از آنجایی كه آنها هیچ دیوار آتشی ندارند این سرورهای وب قدیمی در دسترس كاربران قرار می گیرند و به وسیله جستجو خودكار Code Red آلوده می شوند. نهایتاً Code Red می تواند كاربران كشورهایی را كه اخبار مربوط به جهان غرب را نمی خواهند گرفتار كند .