Mellékleteink: HUP | Gamekapocs
Keres

Újra fertőz a CodeRed

Barna József, 2003. március 12. 13:52
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Ma több számítógépes biztonsággal foglalkozó cég is figyelmeztetett arra, hogy a hírhedt CodeRed féregnek új variánsa tűnt fel internet-szerte. A 2001-ben felbukkant kórokozó új mutációja, akárcsak elődjei, a Microsoft IIS (Internet Information Server) szoftvert futtató szerverekre jelent veszélyt.

[HWSW] Ma több számítógépes biztonsággal foglalkozó cég is figyelmeztetett arra, hogy a hírhedt CodeRed féregnek új variánsa tűnt fel internet-szerte. A 2001-ben felbukkant kórokozó új mutációja, akárcsak elődjei, a Microsoft IIS (Internet Information Server) szoftvert futtató szerverekre jelent veszélyt.

A CodeRed.F felbukkanását először tegnap regisztrálták. A Symantec vírushíradója szerint az új mutáns mindössze két byte-ban különbözik a 2001. augusztus 4-én felfedezett CodeRed II-től, ezért a vírusirtó programok a jelenlegi vírusdefiníciós adatállományokkal is képesek felismerni, majd eltávolítani. A kód értelemszerűen ugyanazt a puffer-túlcsordulási rést használja ki a Microsoft IIS webszerveren, melyet a több mint másfél éve felfedezett korábbi változat, és így teszi lehetővé, hogy a hacker távolról hozzáférjen a megfertőzött számítógépekhez.

A CodeRed II automatikusan újraindította a számítógépet, amennyiben a 2001 utáni évet jelzett a rendszer, az új variáns azonban már nem teszi ezt. A féreg nem menti magát a merevlemezre, hanem a memóriában futva kutat sebezhető Microsoft IIS 4.0 és 5.0 webszerverek után, majd az ismert puffer-túlcsordulási hibát kihasználva megfertőzi azokat. Ezután egy VirtualRoot néven ismert trójai program futtatásával lehetővé teszi, hogy a rosszindulatú felhasználó hozzáférjen a rendszerhez.

A Microsoft még 2001 nyarán kiadott egy olyan javítást, amely befoltozza e biztonsági rést. Ez a patch letölthető a Microsoft honlapjáról. Ha már megfertőződött a szerver, a redmondi vállalat az alábbi eltávolító program futtatását és a rendszer újraindítását javasolja.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.