紅色代碼

紅色代碼 是2001年7月15日在網際網路上觀察到的一種電腦蠕蟲 。它會攻擊執行微軟IIS Web伺服器的電腦。

.ida 紅色代碼蠕蟲

常用名稱	紅色代碼
技術名稱	CRv 和 CRvII
感染系統	Windows
發現時間	2001年7月15日

eEye Digital Security員工Marc Maiffret和Ryan Permeh首先發現和研究了紅色代碼蠕蟲，蠕蟲利用了Riley Hassell發現的漏洞。他們將其命名為「Code Red」，因為Code Red Mountain Dew是他們當時正在喝的飲料^[1]。

儘管蠕蟲在7月13日開始散布，2001年7月19日就感染了數量最多的電腦。在這一天，受感染的主機數量達到了359,000台。 ^[2]

概念

被利用的漏洞

隨IIS的市場份額的不斷增長，該蠕蟲使用了一個在微軟安全公告MS01-033^[3]中描述的漏洞，而修補程式已在一個月前發布。

蠕蟲使用一種常見的漏洞（稱為緩衝區溢位）進行傳播。它使用重複字母'N'的長字串來溢位緩衝區，從而使蠕蟲執行任意代碼並用蠕蟲感染機器。Kenneth D. Eichman是第一個發現如何阻止它，並被邀請到白宮講解他的發現的人^[4]。

蠕蟲有效載荷

蠕蟲的有效載荷包括：

• 篡改受影響的網站以顯示：

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• 其他基於月份日的活動：^[5]
  • 第1-19天：嘗試通過在網際網路上尋找更多IIS伺服器來進行自我傳播。
  • 第20-27天：向多個固定的IP位址發動阻斷服務攻擊。白宮網路伺服器的IP位址就是其中之一^[2]。
  • 第28天-月底：休眠，不主動攻擊。

在掃描易受攻擊的電腦時，蠕蟲不會測試遠端電腦上執行的伺服器是否是易受攻擊的IIS版本，甚至無法檢測它是否執行IIS。此時的Apache訪問紀錄檔經常有這樣的條目：

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

蠕蟲的有效載荷是最後一個'N'後面的字串。由於緩衝區溢位，易受攻擊的主機將此字串解釋為電腦指令，傳播蠕蟲。

類似蠕蟲

主條目：紅色代碼II

2001年8月4日，紅色代碼II出現。紅色代碼II是原始紅色代碼蠕蟲的一個變種。儘管它使用相同的注入向量，但它有完全不同的有效載荷。它根據固定的概率分布偽隨機地選擇與被感染機器相同或不同子網路上的目標，同時更傾向於位於自己子網路內的目標。此外，它使用重複的'X'字元而不是'N'字元模式來使緩衝區溢位。

eEye公司認為，該蠕蟲起源於菲律賓馬卡蒂市，與VBS/Loveletter（又名「ILOVEYOU」）蠕蟲來源相同。

參見

•  電腦安全主題

• 尼姆達蠕蟲
• 知名病毒及蠕蟲的歷史年表

參考

1. ANALYSIS: .ida "Code Red" Worm (Archived copy from 22 July 2011), Code Red advisory, eEye Digital Security, 17 July 2001
2. Moore, David; Colleen Shannon. The Spread of the Code-Red Worm (CRv2). CAIDA Analysis. c. 2001 [2006-10-03]. （原始內容存檔於2017-11-20）. 
3. MS01-033 "Microsoft Security Bulletin MS01-033: Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise" （頁面存檔備份，存於網際網路檔案館），Microsoft Corporation，2001-06-18
4. Lemos, Rob. Virulent worm calls into doubt our ability to protect the Net. Tracking Code Red. CNET News. [14 March 2011]. （原始內容存檔於2011-06-17）. 
5. CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL. CERT/CC. 17 July 2001 [2010-06-29]. （原始內容存檔於2013-12-09）. 

外部連結

• 紅色代碼II分析，Steve Friedl's Unixwiz.net，最後更新於2001年8月22日
• CAIDA Analysis of Code-Red, Cooperative Association for Internet Data Analysis (CAIDA) at the 聖地牙哥超級電腦中心（SDSC），2008年11月更新
• Animation showing the spread of the Code Red worm on 19 July 2001, by Jeff Brown, UCSD, and David Moore, CAIDA at SDSC

Template:2000年代駭客