imported>InternetArchiveBot: InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5

2023-12-06T14:08:56Z

InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5

Neue Seite

{{Infobox Computerwurm
| Name = Code Red
| Aliase =
| Veröffentlichung = [[2001]]
| Herkunft = [[Philippinen]] oder [[Volksrepublik China|China]]
| Typ = Netzwerkwurm
| Subtyp =
| Autoren = unbekannt
| Dateigröße = 58.368 [[Bytes]]
| Speicherresident = ja
| Verbreitung = [[HTTP]]-[[Exploit]]
| System = MS IIS Server
| Programmiersprache =
| Info = Version Code Red II erreichte<br>die weiteste Verbreitung
}}
'''Code Red''' ist eine Familie von [[Computerwurm|Computerwürmern]], die sich ab dem 12. Juli 2001 im Internet verbreiteten. Die ersten befallenen Rechner wurden am 13. Juli an [[eEye Digital Security]] gemeldet, wo Marc Maiffret und Ryan Permeh die erste Analyse durchführten.
Den Namen erhielt der Wurm in Referenz zur [[Defacement]]-Meldung und nach dem Getränk ''[[Mountain Dew]] Code Red'', das die beiden Analysten während der Untersuchung tranken.<ref name="eEye-AL20010717">{{Webarchiv|url=http://research.eeye.com/html/advisories/published/AL20010717.html |wayback=20090620085700 |text=''Analysis: .ida “Code Red” Worm''. |archiv-bot=2023-12-06 14:08:56 InternetArchiveBot }} eEye Digital Security</ref>

Die meisten Infektionen verursachte die zweite Version von ''Code Red'', die über 359.000 Rechner am ersten Tag infizierte.<ref name="CAIDA">[http://www.caida.org/research/security/code-red/ CAIDA Analysis of Code-Red]</ref> Gefährlicher war der neue Wurm '''Code Red II''', der ab Anfang August kursierte, da er eine [[Backdoor]] installierte und sich schneller ausbreitete.<ref name="eEye-AL20010804">[http://research.eeye.com/html/advisories/published/AL20010804.html ''Analysis: CodeRed II Worm''.] eEye Digital Security</ref> Alle Varianten zusammen haben schätzungsweise 760.000 Rechner infiziert.<ref name="PCWorld">{{Internetquelle |url=https://www.caida.org/archive/code-red/ |titel=CAIDA Analysis of Code-Red |sprache=en |abruf=2022-09-08}}</ref> ''Code Red II'' verhält sich zwar ähnlich, stammt aber vermutlich von anderen Autoren.

== Funktionen ==
=== Verbreitung ===
Die ersten 19 Tage jedes Monats versuchte sich ''Code Red'' zu verbreiten, indem er Verbindungen zum Standard-[[HTTP]] [[Port (Protokoll)|Port]] von zufälligen [[IP-Adresse]]n aufbaute und versuchte einen [[Pufferüberlauf]] in der Komponente ''Index Server'' des [[Internet Information Server]] von [[Microsoft]] auszunutzen.

Dieser Angriff wurde durch 100 Unterprozesse parallelisiert. Durch einen Fehler kam es gelegentlich vor, dass auf einem befallenen Server mehr als die vorgesehenen 100 Prozesse gestartet wurden. Dies führte, wie auch die Netzwerklast der Verbreitungsversuche, zu einer Verknappung der Ressourcen.

Auch andere Systeme als der IIS waren betroffen, jedoch führte ''Code Red'' nicht zu einer Infizierung. Manche Systeme (z. B. [[Cisco]] 600 Serie) stellten aufgrund von Fehlern den Betrieb ein.
Microsoft stellte bereits drei Wochen vor Entdeckung des Wurms einen Patch zur Behebung der Lücke bereit.<ref name="MS01-033">[http://www.microsoft.com/technet/security/bulletin/MS01-033.mspx MS01-033.] Microsoft Security Bulletin</ref> Auch für betroffene Produkte von Cisco existierten vor dem Ausbruch bereits Fehlerbehebungen.<ref name="Cisco-sa-20010720"> {{Webarchiv|text=Cisco Security Advisory: “Code Red” Worm - Customer Impact |url=http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20010720-code-red-worm |wayback=20120614022121}}</ref>

''Code Red II'' verwendete zur Verbreitung die gleiche Sicherheitslücke.

=== Payload ===
Neben der Funktion zur Weiterverbreitung enthielt die erste Version von ''Code Red'' auch zwei eigentliche Schadfunktionen. Die kompromittierten Rechner starteten eine [[Denial of Service|DDoS]]-Attacke und führten ein [[Defacement]] bei den gehosteten Webseiten aus. Die Aktivität der Funktionen wurde über den Monatstag gesteuert. Ab dem 28. bis zum Ende des Monats führte er keine Aktionen aus.

''Code Red II'' besaß nur eine Schadfunktion. Die Aktivität war nicht vom Datum abhängig. Direkt nach der Infektion des Systems installierte der Wurm eine [[Backdoor]].

==== Defacement ====
Wurde ein System befallen, dessen [[Lokalisierung (Softwareentwicklung)|Lokalisierung]] der der USA entsprach, so änderte der hundertste Prozess sein Verhalten. Er änderte die Installation des IIS so, dass die Seite

HELLO! Welcome to <nowiki>http://www.worm.com</nowiki>!<br>
Hacked By Chinese!

anzeigte. Nach zehn Stunden wurde dieses [[Defacement]] wieder rückgängig gemacht.<ref name="eEye-AL20010717" />

==== Denial of Service ====
Nach der Verbreitung und einem eventuellen Defacement wurde zwischen dem 20. und 27. jedes Monats die zweite Schadfunktion aktiviert. Dabei wurde eine [[Denial of Service|DDoS-Attacke]] auf eine feste IP-Adresse gestartet, die ursprünglich die der Internetpräsenz des [[Weißes Haus|Weißen Hauses]] war.

Abgesehen von dieser expliziten DDoS-Attacke gab es auch durch die Verbreitungsroutine induzierte Ausfälle.

==== Backdoor ====
Der neue Wurm ''Code Red II'' installierte eine [[Backdoor]], verzichtete aber auf Defacement und DDoS. Die Nebeneffekte der Verbreitung verstärkten sich aber durch die geänderte Erzeugung der IP-Adressen.<ref name="eEye-AL20010804" />

== Ausbruchwellen 2001 bis 2003 ==
Die erste Version von Code Red (genauer ''Net-Worm.Win32.CodeRed.a''<ref name="Kaspersky"> {{Internetquelle |url=https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/CODERED.A/ |titel=CODERED.A - Threat Encyclopedia |abruf=2022-09-08}}</ref> oder ''CODERED.A''<ref name="CODERED.A">[http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=CODERED.A CODERED.A] Trend Micro</ref>) verbreitete sich nur langsam, da durch einen statisch initialisierten [[Zufallsgenerator]] immer die gleichen IP-Adressen infiziert wurden.
Erst die zweite Version (''CODERED.B''<ref name="CODERED.B">[http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=CODERED.B CODERED.B] Trend Micro</ref>) verwendete wirklich zufällige IP-Adressen und befiel am 19. Juli innerhalb von etwa 14 Stunden über 359.000 Rechner. Beide Versionen konnten durch einen Neustart des Rechners entfernt werden.<ref name="CAIDA" />

''Code Red II'' (auch ''CODERED.C''<ref name="CODERED.C">[http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=CODERED.C CODERED.C] Trend Micro</ref>) wurde ebenfalls zu dieser Familie gezählt, da er den Namen referenzierte und die gleiche Sicherheitslücke ausnutzte. Allerdings war er umgeschrieben worden und manche Sicherheitsexperten vermuten einen anderen Autor.<ref name="F-Secure">[http://www.f-secure.com/v-descs/bady.shtml F-Secure Virus Descriptions: CodeRed]</ref> Insbesondere hatte er einen ausgefeilteren [[Algorithmus]] für die Auswahl der IP-Adresse und die Backdoor war nicht nur im Arbeitsspeicher hinterlegt, sondern wurde nach einer Benutzeranmeldung erneut ausgeführt.<ref name="CAIDA" /><ref name="F-Secure" />
Der Wurm deaktivierte sich nach dem 1. Oktober selbst, jedoch gab es bis 2003 verschiedene Weiterentwicklungen. Die Backdoor blieb installiert.<ref name="CODERED.C" /><ref name="F-Secure" /><ref name="GAO-01-1073T">[http://www.gao.gov/new.items/d011073t.pdf ''Code Red, Code Red II, and SirCam Attacks Highlight Need for Proactive Measures''] (PDF; 143 kB) US General Accounting Office</ref>

=== Verursachter Schaden ===
Der ursprünglich beabsichtigte Angriff auf die Internetpräsenz des Weißen Hauses durch ''Code Red'' lief ins Leere, da die Systemadministratoren rechtzeitig die IP-Adresse des Dienstes änderten. Dennoch verursachte er Schaden durch die Ausfälle und die Bekämpfung des Schädlings.

Nach einer Schätzung durch [[Computer Economics]], verursachten die Code Red-Würmer bis Ende August 2001 einen Schaden von mindestens 2,6 Milliarden US-Dollar, wovon 1,1 Milliarden auf die Bekämpfung und 1,5 Milliarden auf Umsatzausfälle fielen.<ref name="out-law-1953">Out-Law: [http://www.out-law.com/page-1953 Code Red cost $2.6 billion worldwide]</ref>

== Code Green ==
Code Green war ein [[Computerwurm#Nematoden|Nematode]] (Hilfreicher Wurm oder Anti-Wurm), der Code Red löschte sowie das entsprechende Windows-Sicherheitsupdate automatisch herunterlud und installierte. Anschließend blendete der Wurm eine Meldung ein und informierte den Computerbesitzer über den Vorgang. Dann löschte Code Green sich selbst.

== Weblinks ==
* [http://www.vhs-internet.de/doc/Facharbeit.htm#_Toc3110887 ''Computerwürmer''.] Facharbeit, mit Code Red als Beispiel
* [http://www.tomshardware.com/de/code-red-dos-angriff-aufs-weisse-haus,news-3075.html ''Code Red: DoS Angriff aufs Weiße Haus''.] Tom’s Hardware
* [http://www.sdsc.edu/pub/envision/v17.3/worms.html ''Hot on the Trail of ‘Code Red’ Worms''.] EnVision, Vol. 17, No. 3 (englisch)
* [http://www.spiegel.de/netzwelt/tech/0,1518,148695,00.html ''Code Red II – Neuer Wurm auch in Deutschland''.] [[Spiegel Online]] netzwelt

== Einzelnachweise ==
<references responsive />

[[Kategorie:Schadprogramm]]
[[Kategorie:Computerwurm]]

Code Red (Computerwurm) - Versionsgeschichte

imported>InternetArchiveBot: InternetArchiveBot hat 1 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert.) #IABot (v2.0.9.5