Code Red (virus informático)

virus informático de tipo gusano

Code Red fue un virus informático descubierto alrededor del 13 de julio de 2001. Éste atacaba computadoras que ejecutaran el servidor web de Microsoft Internet Information Server, IIS. El Gusano Code Red fue descubierto y reportado por eEye Digital Security.[1]​ Aunque el gusano fue reportado el 13 de julio, su mayor alcance fue el 19 de julio, en este día el número de servidores infectados ascendió a cerca de 359.000.[2]​ Fue el primer ataque mixto a gran escala exitoso que apuntó a redes empresariales.[3]​ Le pusieron "Code Red" porque en ese momento estaban tomando Code Red Mountain Dew.[4]

¿Cómo funciona?Editar

Vulnerabilidades que aprovechaEditar

El gusano explotaba una vulnerabilidad en el indexado de la distribución de software IIS, la cual se encuentra descrita en el boletín MS01-033,[5]​ en menos de un mes el parche que solucionaba el defecto estaba desarrollado.

El gusano se extendía aprovechando una vulnerabilidad muy común conocida como "buffer overflow", en el archivo IDQ.DLL. Lo que hacía era usar una larga cadena de caracteres repetidos 'n' veces hasta conseguir que se desbordase el buffer, permitiendo al gusano ejecutar un código propio e infectar a la máquina que había sido atacada. Kenneth D. Eichman fue el primero en descubrir como bloquear el gusano por lo cual fue invitado a la casa blanca por el descubrimiento.[cita requerida]

Acerca del gusanoEditar

La carga útil del gusano incluía un Defacement a la página que indicaba que la máquina había sido infectada:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese! :)

FuncionamientoEditar

Cuando el virus accede a una computadora vulnerable, examina la existencia del archivo C:\NOTWORM (el cual ha creado el propio gusano y que le servía para identificar equipos ya infectados). Si no existe, el gusano continúa su infección, de lo contrario permanece en la máquina sin realizar ninguna tarea, a la espera y latente para que la infección se pueda extender y propagar por la red con una facilidad mayor.

El gusano crea 100 threads (hilos de ejecución) simultáneos lo que podía provocar que el servidor colapsara y tuviera que ser reiniciado.

Si la fecha actual del servidor estaba entre el 20 y el 28, el gusano intenta un Ataque de denegación de servicio a la dirección www.whitehouse.gov, enviando gran cantidad de datos basura al puerto 80 y debido al gran volumen de tráfico, colapsar los canales de comunicación. Si la fecha es mayor al día 28, los diferentes threads (hilos de ejecución) creados en la primera etapa de la infección, quedan en un bucle infinito, causando la inestabilidad y la caída del servidor.[6]

CodeRed, NovelaEditar

CodeRed fue también el primer gusano sobre el cual se ha escrito una novela, una ficción que se apoya en fechas, en la realidad de este momento, para avanzar por una trama donde se descubre y tratan, enmarcados en la teoría de la conspiración, los mayores secretos sobre este momento histórico.[7]

Véase tambiénEditar

ReferenciasEditar

  1. ANALYSIS: .ida "Code Red" Worm, Code Red advisory, eEye Digital Security, 17 de julio de 2001
  2. Moore, David; Colleen Shannon (2001?). «The Spread of the Code-Red Worm (CRv2)». CAIDA Analysis. Consultado el 3 de octubre de 2006. 
  3. Trend Micro. «Enterprise Prevention and Management of Mixed-Threat Attacks». 
  4. ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011), Code Red advisory, eEye Digital Security, 17 July 2001
  5. MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise", Microsoft Corporation, 18 de junio de 2001
  6. vsantivirus CodeRed un gusano en la memoria de los servidores", 20 de julio de 2001
  7. CodeRed , 25 de diciembre de 2012