Code Red (Computerwurm)
Vorlage:Infobox Computerwurm Code Red ist eine Familie von Computerwürmern, die sich ab dem 12. Juli 2001 im Internet verbreiteten. Die ersten befallenen Rechner wurden am 13. Juli an eEye Digital Security gemeldet, wo Marc Maiffret und Ryan Permeh die erste Analyse durchführten. Den Namen erhielt der Wurm in Referenz zur Defacement-Meldung und nach dem Getränk Mountain Dew Code Red, das die beiden Analysten während der Untersuchung tranken.<ref name="eEye-AL20010717"><templatestyles src="Webarchiv/styles.css" />{{#if:20090620085700
| {{#ifeq: 20090620085700 | *
| {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }} (Archivversionen)
| {{#iferror: {{#time: j. F Y|20090620085700}}
| {{#if: || }}Der Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
| {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-06 14:08:56 InternetArchiveBot | 2023-12-06 14:08:56 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y|20090620085700}} im Internet Archive{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
}}
| {{#if:
| {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
| {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
| 16= {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-06 14:08:56 InternetArchiveBot | 2023-12-06 14:08:56 InternetArchiveBot | }} | des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| 9 = {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: 2023-12-06 14:08:56 InternetArchiveBot | 2023-12-06 14:08:56 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!{{#if: || }}
}}
| c|{{{webciteID}}}}} {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }} ({{#if: {{#if: 2023-12-06 14:08:56 InternetArchiveBot | 2023-12-06 14:08:56 InternetArchiveBot | }} | des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
| {{#if:
| Vorlage:Webarchiv/Today
| {{#if:
| Vorlage:Webarchiv/Generisch
| {{#if: Analysis: .ida “Code Red” Worm. | {{#invoke:WLink|getEscapedTitle|Analysis: .ida “Code Red” Worm.}} | {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html}} }}
}}}}}}}}{{#if:2023-12-06 14:08:56 InternetArchiveBot
| Vorlage:Webarchiv/archiv-bot
}}{{#invoke:TemplatePar|check
|all = url=
|opt = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
|cat = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
|errNS = 0
|template = Vorlage:Webarchiv
|format = *
|preview = 1
}}{{#ifexpr: {{#if:20090620085700|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
}}{{#if:
| {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
| web.archive.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}}
| webcitation.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}}
| archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
}}{{#if:
| {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
| }}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
}}
| {{#if:
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
}}
}}{{#if:{{#invoke:URLutil|isHostPathResource|http://research.eeye.com/html/advisories/published/AL20010717.html}}
|| {{#if: || }}
}}{{#if: Analysis: .ida “Code Red” Worm.
| {{#if: {{#invoke:WLink|isBracketedLink|Analysis: .ida “Code Red” Worm.}}
| {{#if: || }}
}}
| {{#if: || }}
}}{{#switch:
|addlarchives|addlpages= {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
}}{{#ifeq: {{#invoke:Str|find|http://research.eeye.com/html/advisories/published/AL20010717.html%7Carchiv}} |-1
|| {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://research.eeye.com/html/advisories/published/AL20010717.html%7C4}}%7Chttp}} |-1
|| {{#switch: {{#invoke:Webarchiv|getdomain|http://research.eeye.com/html/advisories/published/AL20010717.html }}
| abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org =
| #default = {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
}}
}}
}} eEye Digital Security</ref>
Die meisten Infektionen verursachte die zweite Version von Code Red, die über 359.000 Rechner am ersten Tag infizierte.<ref name="CAIDA">CAIDA Analysis of Code-Red</ref> Gefährlicher war der neue Wurm Code Red II, der ab Anfang August kursierte, da er eine Backdoor installierte und sich schneller ausbreitete.<ref name="eEye-AL20010804">Analysis: CodeRed II Worm. eEye Digital Security</ref> Alle Varianten zusammen haben schätzungsweise 760.000 Rechner infiziert.<ref name="PCWorld">{{#if:|{{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}| |}}}}{{#if:|{{{autor}}}: }}{{#if:|{{#if:CAIDA Analysis of Code-Red|[{{#invoke:Vorlage:Internetquelle|archivURL|1={{#invoke:URLutil|getNormalized|1={{{archiv-url}}}}}}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel=CAIDA Analysis of Code-Red}}]{{#if:| ({{{format}}})}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}|{{#if:https://www.caida.org/archive/code-red/%7C{{#if:{{#invoke:TemplUtl%7Cfaculty%7C}}%7C{{#invoke:Vorlage:Internetquelle%7CTitelFormat%7Ctitel={{#invoke:WLink%7CgetEscapedTitle%7C1=CAIDA Analysis of Code-Red}}}}|[{{#invoke:URLutil|getNormalized|1=https://www.caida.org/archive/code-red/}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{#invoke:WLink|getEscapedTitle|1=CAIDA Analysis of Code-Red}}}}]}}{{#if:| ({{{format}}}{{#if:{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
| )
| {{#if:{{#ifeq:en|de||{{#if:en|1}}}}| ;
| )}}}}}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}}}{{#if:https://www.caida.org/archive/code-red/%7C{{#if:{{#invoke:URLutil%7CisResourceURL%7C1=https://www.caida.org/archive/code-red/}}%7C%7C}}}}{{#if:CAIDA Analysis of Code-Red|{{#if:{{#invoke:WLink|isValidLinktext|1=CAIDA Analysis of Code-Red|lines=0}}||}}}}{{#if: | In: {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{{werk}}}}}}}{{#if: | {{{hrsg}}}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: | {{#if:{{#invoke:DateTime|format|{{{datum}}}|noerror=1}}
|{{#invoke:DateTime|format|{{{datum}}}|T._Monat JJJJ}}
|{{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, datum={{{datum}}}|class=Zitationswartung}} }}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: | S. {{{seiten}}}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: {{#invoke:TemplUtl|faculty|}}| {{#if:|{{#if:|archiviert|ehemals}}|{{#if:|Archiviert|Ehemals}}}} {{#if:|vom|im}} Vorlage:Referrer{{#if:{{#invoke:TemplUtl|faculty|}}| (nicht mehr online verfügbar)}}{{#if: | am {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}|{{{archiv-datum}}}{{#if:1844516||(?)}}}}}}{{#if: 2022-09-08|;}}}}{{#if: 2022-09-08| {{#if:{{#invoke:TemplUtl|faculty|}}|abgerufen|Abgerufen}} {{#switch: {{#invoke:Str|len| {{#invoke:DateTime|format| 2022-09-08 |ISO|noerror=1}} }}
|4=im Jahr
|7=im
|10=am
|#default={{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, abruf=2022-09-08|class=Zitationswartung}} }} {{#invoke:DateTime|format|2022-09-08|T._Monat JJJJ}}
| {{#invoke:TemplUtl|failure|1=Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}} }}{{#if:{{#ifeq:en|de||{{#if:en|1}}}}|{{#if:{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
| (
| {{#if: | | (}}
}}{{#ifeq:{{#if:en|en|de}}|de||
{{#invoke:Multilingual|format|en|slang=!|split=[%s,]+|shift=m|separator=, }}}}{{#if: |{{#ifeq:{{#if:en|en|de}}|de||, }}{{{kommentar}}}}})}}{{#if: {{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}} }}en|{{#if: |: {{
#if:
| „{{
#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
| Vorlage:Str trim
| {{#invoke:Vorlage:lang|flat}}
}}“
| {{#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
| „Vorlage:Str trim“
| {{#invoke:Text|quote
|1={{#if:
| {{#invoke:Vorlage:lang|flat}}
| {{#invoke:Vorlage:lang|flat}} }}
|2={{#if: {{#invoke:TemplUtl|faculty|}}|de-CH|de}}
|3=1}} }}
}}{{#if:
| (<templatestyles src="Person/styles.css" />{{#if: | : }}{{#if: | , deutsch: „“ }})
| {{#if:
| ({{#if: | , deutsch: „“ }})
| {{#if: | (deutsch: „“) }}
}}
}}{{#if: {{{zitat}}}
| {{#if:
| {{#if: {{{zitat}}}
| Vorlage:": Text= und 1= gleichzeitig, bzw. Pipe zu viel }} }}
| Vorlage:": Text= fehlt }}{{#if: | {{#if: {{#invoke:Text|unstrip|{{{ref}}}}}
| Vorlage:": Ungültiger Wert: ref=
| {{{ref}}} }}
}}|.{{#if:{{#invoke:TemplUtl|faculty|}}|{{#if:||{{#ifeq: | JaKeinHinweis |{{#switch:
|0|=Vorlage:Toter Link/Core{{#if: https://www.caida.org/archive/code-red/ | {{#if: | [1] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive ){{#if: | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }} }} | (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.) }}{{#switch: |no|0|= |#default={{#if: || }} }}{{#invoke:TemplatePar|check |opt = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.caida.org/archive/code-red/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.caida.org/archive/code-red/}} || {{#if: || }} }} | {{#if: | {{#if: || }} | {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: deadurl |checked|deadurl|= |#default= {{#if: || }} }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.caida.org/archive/code-red/ Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. ) {{#if: | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }} }}Vorlage:Toter Link/Core{{#switch: |no|0|= |#default= {{#if: || }} }}{{#invoke:TemplatePar|check |all = inline= url= |opt = datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.caida.org/archive/code-red/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.caida.org/archive/code-red/}} || {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: deadurl |checked|deadurl|= |#default= {{#if: || }} }}[https://www.caida.org/archive/code-red/ }}|{{#switch: |0|=Vorlage:Toter Link/Core{{#if: https://www.caida.org/archive/code-red/ | {{#if: | [2] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive ){{#if: | {{#if: | | Vorlage:Toter Link/archivebot }} }} | (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.) }}{{#switch: |no|0|= |#default={{#if: || }} }}{{#invoke:TemplatePar|check |opt = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.caida.org/archive/code-red/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.caida.org/archive/code-red/}} || {{#if: || }} }} | {{#if: | {{#if: || }} | {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: |checked|deadurl|= |#default= {{#if: || }} }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.caida.org/archive/code-red/ Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. ) {{#if: | {{#if: | | Vorlage:Toter Link/archivebot }} }}Vorlage:Toter Link/Core{{#switch: |no|0|= |#default= {{#if: || }} }}{{#invoke:TemplatePar|check |all = inline= url= |opt = datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.caida.org/archive/code-red/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.caida.org/archive/code-red/}} || {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: |checked|deadurl|= |#default= {{#if: || }} }}[https://www.caida.org/archive/code-red/ }} }}}}}}}}}}{{#if:| {{#invoke:Vorlage:Internetquelle|archivBot|stamp={{{archiv-bot}}}|text={{#if:|Vorlage:Webarchiv/archiv-bot}}
}}}}{{#invoke:TemplatePar|check |all= url= titel= |opt= autor= hrsg= format= sprache= titelerg= werk= seiten= datum= abruf= zugriff= abruf-verborgen= archiv-url= archiv-datum= archiv-bot= kommentar= zitat= AT= CH= offline= |cat= {{#ifeq: 0 | 0 | Wikipedia:Vorlagenfehler/Vorlage:Internetquelle}} |template= Vorlage:Internetquelle |format=0 |preview=1 }}</ref> Code Red II verhält sich zwar ähnlich, stammt aber vermutlich von anderen Autoren.
Funktionen
Verbreitung
Die ersten 19 Tage jedes Monats versuchte sich Code Red zu verbreiten, indem er Verbindungen zum Standard-HTTP Port von zufälligen IP-Adressen aufbaute und versuchte einen Pufferüberlauf in der Komponente Index Server des Internet Information Server von Microsoft auszunutzen.
Dieser Angriff wurde durch 100 Unterprozesse parallelisiert. Durch einen Fehler kam es gelegentlich vor, dass auf einem befallenen Server mehr als die vorgesehenen 100 Prozesse gestartet wurden. Dies führte, wie auch die Netzwerklast der Verbreitungsversuche, zu einer Verknappung der Ressourcen.
Auch andere Systeme als der IIS waren betroffen, jedoch führte Code Red nicht zu einer Infizierung. Manche Systeme (z. B. Cisco 600 Serie) stellten aufgrund von Fehlern den Betrieb ein. Microsoft stellte bereits drei Wochen vor Entdeckung des Wurms einen Patch zur Behebung der Lücke bereit.<ref name="MS01-033">MS01-033. Microsoft Security Bulletin</ref> Auch für betroffene Produkte von Cisco existierten vor dem Ausbruch bereits Fehlerbehebungen.<ref name="Cisco-sa-20010720"> <templatestyles src="Webarchiv/styles.css" />{{#if:20120614022121
| {{#ifeq: 20120614022121 | *
| {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }} (Archivversionen)
| {{#iferror: {{#time: j. F Y|20120614022121}}
| {{#if: || }}Der Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
| {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer }} vom {{#time: j. F Y|20120614022121}} im Internet Archive{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
}}
| {{#if:
| {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
| {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
| 16= {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| 9 = {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }} {{#ifeq: | [] | [ | ( }}{{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
| #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!{{#if: || }}
}}
| c|{{{webciteID}}}}} {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }} ({{#if: {{#if: | {{{archiv-bot}}} | }} | des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if: | ; }}{{#ifeq: | [] | ] | ) }}
}}
| {{#if:
| Vorlage:Webarchiv/Today
| {{#if:
| Vorlage:Webarchiv/Generisch
| {{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact | {{#invoke:WLink|getEscapedTitle|Cisco Security Advisory: “Code Red” Worm - Customer Impact}} | {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}} }}
}}}}}}}}{{#if:
| Vorlage:Webarchiv/archiv-bot
}}{{#invoke:TemplatePar|check
|all = url=
|opt = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
|cat = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
|errNS = 0
|template = Vorlage:Webarchiv
|format = *
|preview = 1
}}{{#ifexpr: {{#if:20120614022121|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
}}{{#if:
| {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
| web.archive.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}}
| webcitation.org =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}}
| archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn =
{{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
}}{{#if:
| {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
| }}
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
}}
| {{#if:
| {{#if: || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
}}
}}{{#if:{{#invoke:URLutil|isHostPathResource|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm}}
|| {{#if: || }}
}}{{#if: Cisco Security Advisory: “Code Red” Worm - Customer Impact
| {{#if: {{#invoke:WLink|isBracketedLink|Cisco Security Advisory: “Code Red” Worm - Customer Impact}}
| {{#if: || }}
}}
| {{#if: || }}
}}{{#switch:
|addlarchives|addlpages= {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
}}{{#ifeq: {{#invoke:Str|find|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm%7Carchiv}} |-1
|| {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm%7C4}}%7Chttp}} |-1
|| {{#switch: {{#invoke:Webarchiv|getdomain|http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm }}
| abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org =
| #default = {{#if: || }}{{#if: 1 |}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
}}
}}
}}</ref>
Code Red II verwendete zur Verbreitung die gleiche Sicherheitslücke.
Payload
Neben der Funktion zur Weiterverbreitung enthielt die erste Version von Code Red auch zwei eigentliche Schadfunktionen. Die kompromittierten Rechner starteten eine DDoS-Attacke und führten ein Defacement bei den gehosteten Webseiten aus. Die Aktivität der Funktionen wurde über den Monatstag gesteuert. Ab dem 28. bis zum Ende des Monats führte er keine Aktionen aus.
Code Red II besaß nur eine Schadfunktion. Die Aktivität war nicht vom Datum abhängig. Direkt nach der Infektion des Systems installierte der Wurm eine Backdoor.
Defacement
Wurde ein System befallen, dessen Lokalisierung der der USA entsprach, so änderte der hundertste Prozess sein Verhalten. Er änderte die Installation des IIS so, dass die Seite
HELLO! Welcome to http://www.worm.com!
Hacked By Chinese!
anzeigte. Nach zehn Stunden wurde dieses Defacement wieder rückgängig gemacht.<ref name="eEye-AL20010717" />
Denial of Service
Nach der Verbreitung und einem eventuellen Defacement wurde zwischen dem 20. und 27. jedes Monats die zweite Schadfunktion aktiviert. Dabei wurde eine DDoS-Attacke auf eine feste IP-Adresse gestartet, die ursprünglich die der Internetpräsenz des Weißen Hauses war.
Abgesehen von dieser expliziten DDoS-Attacke gab es auch durch die Verbreitungsroutine induzierte Ausfälle.
Backdoor
Der neue Wurm Code Red II installierte eine Backdoor, verzichtete aber auf Defacement und DDoS. Die Nebeneffekte der Verbreitung verstärkten sich aber durch die geänderte Erzeugung der IP-Adressen.<ref name="eEye-AL20010804" />
Ausbruchwellen 2001 bis 2003
Die erste Version von Code Red (genauer Net-Worm.Win32.CodeRed.a<ref name="Kaspersky"> {{#if:|{{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}| |}}}}{{#if:|{{{autor}}}: }}{{#if:|{{#if:CODERED.A - Threat Encyclopedia|[{{#invoke:Vorlage:Internetquelle|archivURL|1={{#invoke:URLutil|getNormalized|1={{{archiv-url}}}}}}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel=CODERED.A - Threat Encyclopedia}}]{{#if:| ({{{format}}})}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}|{{#if:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/%7C{{#if:{{#invoke:TemplUtl%7Cfaculty%7C}}%7C{{#invoke:Vorlage:Internetquelle%7CTitelFormat%7Ctitel={{#invoke:WLink%7CgetEscapedTitle%7C1=CODERED.A - Threat Encyclopedia}}}}|[{{#invoke:URLutil|getNormalized|1=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}} {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{#invoke:WLink|getEscapedTitle|1=CODERED.A - Threat Encyclopedia}}}}]}}{{#if:| ({{{format}}}{{#if:{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
| )
| {{#if:{{#ifeq:de|de||{{#if:|1}}}}| ;
| )}}}}}}{{#if:| {{{titelerg}}}{{#invoke:Vorlage:Internetquelle|Endpunkt|titel={{{titelerg}}}}}}}}}}}{{#if:https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/%7C{{#if:{{#invoke:URLutil%7CisResourceURL%7C1=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}}%7C%7C}}}}{{#if:CODERED.A - Threat Encyclopedia|{{#if:{{#invoke:WLink|isValidLinktext|1=CODERED.A - Threat Encyclopedia|lines=0}}||}}}}{{#if: | In: {{#invoke:Vorlage:Internetquelle|TitelFormat|titel={{{werk}}}}}}}{{#if: | {{{hrsg}}}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: | {{#if:{{#invoke:DateTime|format|{{{datum}}}|noerror=1}}
|{{#invoke:DateTime|format|{{{datum}}}|T._Monat JJJJ}}
|{{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, datum={{{datum}}}|class=Zitationswartung}} }}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: | S. {{{seiten}}}{{#if: |,|{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||,}}}}}}}}{{#if: {{#invoke:TemplUtl|faculty|}}| {{#if:|{{#if:|archiviert|ehemals}}|{{#if:|Archiviert|Ehemals}}}} {{#if:|vom|im}} Vorlage:Referrer{{#if:{{#invoke:TemplUtl|faculty|}}| (nicht mehr online verfügbar)}}{{#if: | am {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}|{{{archiv-datum}}}{{#if:1844516||(?)}}}}}}{{#if: 2022-09-08|;}}}}{{#if: 2022-09-08| {{#if:{{#invoke:TemplUtl|faculty|}}|abgerufen|Abgerufen}} {{#switch: {{#invoke:Str|len| {{#invoke:DateTime|format| 2022-09-08 |ISO|noerror=1}} }}
|4=im Jahr
|7=im
|10=am
|#default={{#invoke:TemplUtl|failure|1=Fehler bei Vorlage:Internetquelle, abruf=2022-09-08|class=Zitationswartung}} }} {{#invoke:DateTime|format|2022-09-08|T._Monat JJJJ}}
| {{#invoke:TemplUtl|failure|1=Vorlage:Internetquelle | abruf=2026-MM-TT ist Pflichtparameter}} }}{{#if:{{#ifeq:de|de||{{#if:|1}}}}|{{#if:{{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}}}}
| (
| {{#if: | | (}}
}}{{#ifeq:{{#if:de|de|de}}|de||
{{#invoke:Multilingual|format|{{{sprache}}}|slang=!|split=[%s,]+|shift=m|separator=, }}}}{{#if: |{{#ifeq:{{#if:de|de|de}}|de||, }}{{{kommentar}}}}})}}{{#if: {{#if: 2022-09-08 | {{#if:{{#invoke:TemplUtl|faculty|}}||1}} }}|{{#if: |: {{
#if:
| „{{
#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
| Vorlage:Str trim
| {{#invoke:Vorlage:lang|flat}}
}}“
| {{#ifeq: {{#if:{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|{{#if: {{#invoke:templutl|faculty|}}|de-ch|de}}|de}} | de
| „Vorlage:Str trim“
| {{#invoke:Text|quote
|1={{#if:
| {{#invoke:Vorlage:lang|flat}}
| {{#invoke:Vorlage:lang|flat}} }}
|2={{#if: {{#invoke:TemplUtl|faculty|}}|de-CH|de}}
|3=1}} }}
}}{{#if:
| (<templatestyles src="Person/styles.css" />{{#if: | : }}{{#if: | , deutsch: „“ }})
| {{#if:
| ({{#if: | , deutsch: „“ }})
| {{#if: | (deutsch: „“) }}
}}
}}{{#if: {{{zitat}}}
| {{#if:
| {{#if: {{{zitat}}}
| Vorlage:": Text= und 1= gleichzeitig, bzw. Pipe zu viel }} }}
| Vorlage:": Text= fehlt }}{{#if: | {{#if: {{#invoke:Text|unstrip|{{{ref}}}}}
| Vorlage:": Ungültiger Wert: ref=
| {{{ref}}} }}
}}|.{{#if:{{#invoke:TemplUtl|faculty|}}|{{#if:||{{#ifeq: | JaKeinHinweis |{{#switch:
|0|=Vorlage:Toter Link/Core{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if: | [3] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive ){{#if: | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }} }} | (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.) }}{{#switch: |no|0|= |#default={{#if: || }} }}{{#invoke:TemplatePar|check |opt = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}} || {{#if: || }} }} | {{#if: | {{#if: || }} | {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: deadurl |checked|deadurl|= |#default= {{#if: || }} }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. ) {{#if: | {{#if: deadurlausgeblendet | | Vorlage:Toter Link/archivebot }} }}Vorlage:Toter Link/Core{{#switch: |no|0|= |#default= {{#if: || }} }}{{#invoke:TemplatePar|check |all = inline= url= |opt = datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}} || {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: deadurl |checked|deadurl|= |#default= {{#if: || }} }}[https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ }}|{{#switch: |0|=Vorlage:Toter Link/Core{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if: | [4] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. Suche im Internet Archive ){{#if: | {{#if: | | Vorlage:Toter Link/archivebot }} }} | (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}.) }}{{#switch: |no|0|= |#default={{#if: || }} }}{{#invoke:TemplatePar|check |opt = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}} || {{#if: || }} }} | {{#if: | {{#if: || }} | {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: |checked|deadurl|= |#default= {{#if: || }} }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: | , festgestellt im {{#invoke:DateTime|format||F Y}} }}. (Suche im Internet Archive. ) {{#if: | {{#if: | | Vorlage:Toter Link/archivebot }} }}Vorlage:Toter Link/Core{{#switch: |no|0|= |#default= {{#if: || }} }}{{#invoke:TemplatePar|check |all = inline= url= |opt = datum= date= archivebot= bot= botlauf= fix-attempted= checked= |cat = Wikipedia:Vorlagenfehler/Vorlage:Toter Link |errNS = 0 |template = Vorlage:Toter Link |format = |preview = 1 }}{{#if: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ | {{#if:{{#invoke:URLutil|isWebURL|https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/}} || {{#if: || }} }} }}{{#if: | {{#if:{{#invoke:DateTime|format||F Y|noerror=1}} || {{#if: || }} }} }}{{#switch: |checked|deadurl|= |#default= {{#if: || }} }}[https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ }} }}}}}}}}}}{{#if:| {{#invoke:Vorlage:Internetquelle|archivBot|stamp={{{archiv-bot}}}|text={{#if:|Vorlage:Webarchiv/archiv-bot}}
}}}}{{#invoke:TemplatePar|check |all= url= titel= |opt= autor= hrsg= format= sprache= titelerg= werk= seiten= datum= abruf= zugriff= abruf-verborgen= archiv-url= archiv-datum= archiv-bot= kommentar= zitat= AT= CH= offline= |cat= {{#ifeq: 0 | 0 | Wikipedia:Vorlagenfehler/Vorlage:Internetquelle}} |template= Vorlage:Internetquelle |format=0 |preview=1 }}</ref> oder CODERED.A<ref name="CODERED.A">CODERED.A Trend Micro</ref>) verbreitete sich nur langsam, da durch einen statisch initialisierten Zufallsgenerator immer die gleichen IP-Adressen infiziert wurden. Erst die zweite Version (CODERED.B<ref name="CODERED.B">CODERED.B Trend Micro</ref>) verwendete wirklich zufällige IP-Adressen und befiel am 19. Juli innerhalb von etwa 14 Stunden über 359.000 Rechner. Beide Versionen konnten durch einen Neustart des Rechners entfernt werden.<ref name="CAIDA" />
Code Red II (auch CODERED.C<ref name="CODERED.C">CODERED.C Trend Micro</ref>) wurde ebenfalls zu dieser Familie gezählt, da er den Namen referenzierte und die gleiche Sicherheitslücke ausnutzte. Allerdings war er umgeschrieben worden und manche Sicherheitsexperten vermuten einen anderen Autor.<ref name="F-Secure">F-Secure Virus Descriptions: CodeRed</ref> Insbesondere hatte er einen ausgefeilteren Algorithmus für die Auswahl der IP-Adresse und die Backdoor war nicht nur im Arbeitsspeicher hinterlegt, sondern wurde nach einer Benutzeranmeldung erneut ausgeführt.<ref name="CAIDA" /><ref name="F-Secure" /> Der Wurm deaktivierte sich nach dem 1. Oktober selbst, jedoch gab es bis 2003 verschiedene Weiterentwicklungen. Die Backdoor blieb installiert.<ref name="CODERED.C" /><ref name="F-Secure" /><ref name="GAO-01-1073T">Code Red, Code Red II, and SirCam Attacks Highlight Need for Proactive Measures (PDF; 143 kB) US General Accounting Office</ref>
Verursachter Schaden
Der ursprünglich beabsichtigte Angriff auf die Internetpräsenz des Weißen Hauses durch Code Red lief ins Leere, da die Systemadministratoren rechtzeitig die IP-Adresse des Dienstes änderten. Dennoch verursachte er Schaden durch die Ausfälle und die Bekämpfung des Schädlings.
Nach einer Schätzung durch Computer Economics, verursachten die Code Red-Würmer bis Ende August 2001 einen Schaden von mindestens 2,6 Milliarden US-Dollar, wovon 1,1 Milliarden auf die Bekämpfung und 1,5 Milliarden auf Umsatzausfälle fielen.<ref name="out-law-1953">Out-Law: Code Red cost $2.6 billion worldwide</ref>
Code Green
Code Green war ein Nematode (Hilfreicher Wurm oder Anti-Wurm), der Code Red löschte sowie das entsprechende Windows-Sicherheitsupdate automatisch herunterlud und installierte. Anschließend blendete der Wurm eine Meldung ein und informierte den Computerbesitzer über den Vorgang. Dann löschte Code Green sich selbst.
Weblinks
- Computerwürmer. Facharbeit, mit Code Red als Beispiel
- Code Red: DoS Angriff aufs Weiße Haus. Tom’s Hardware
- Hot on the Trail of ‘Code Red’ Worms. EnVision, Vol. 17, No. 3 (englisch)
- Code Red II – Neuer Wurm auch in Deutschland. Spiegel Online netzwelt
Einzelnachweise
<references responsive />
- Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
- Wikipedia:Vorlagenfehler/Vorlage:Webarchiv/Archiv-URL
- Wikipedia:Vorlagenfehler/Parameter:URL
- Wikipedia:Vorlagenfehler/Parameter:Linktext
- Wikipedia:Vorlagenfehler/Vorlage:Webarchiv/Linktext fehlt
- Wikipedia:Vorlagenfehler/Parameter:Datum
- Wikipedia:Vorlagenfehler/Vorlage:"
- Wikipedia:Weblink offline fix-attempted
- Wikipedia:Vorlagenfehler/Vorlage:Toter Link
- Wikipedia:Vorlagenfehler/Vorlage:Toter Link/URL fehlt
- Schadprogramm
- Computerwurm