"Gusano" que explota una vulnerabilidad del Microsoft Internet Information Server NT o Windows 2000

El CodeRed no es un gusano o virus contenido en un archivo. Es un código lógico ejecutado en memoria dinámica que hace uso del desbordamiento (overflow) del buffer, contenido en el archivo IDQ.DLL del MS IIS el cual genera los mensajes de error de acceso a un URL, motivado por diversas causas.   

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

Este gusano, por denominarlo de algún modo, invoca al Puerto 80 y envía su código usando una petición HTTP. El código no es guardado como archivo en el disco, sino que a través del IIServer se posiciona en memoria dinámica integrándose al propio sistema. Una vez que CodeRed ha infectado un servidor empieza a buscar en forma aleatoria direcciones IP, con el propósito de infectar otros servidores que tengan instalado el MS IIServer.   

Una vez que ha logrado infectar un servidor web, el CodeRed actúa de la siguiente forma:

1. Se integra en la plataforma del sistema infectado.
2. Genera 100 "hilos" (sub-procesos) del gusano.
3. Los primeros 99 hilos son usados para propagarse en otros servidores web.
   • El gusano crea una secuencia aleatoria de direcciones IP. Sin embargo, no todos estos IP's a ser atacados son aleatorios ya que emplea una "semilla estática", vale decir una dirección IP inicial que siempre es la misma, que el gusano usa cuando genera nuevas direcciones IP. Por consiguiente cada sistema infectado tiene que usar la misma lista inicial de direcciones IP, supuestamente "aleatorias".
   • Debido a esta característica, el gusano terminará re-infectando los mismos sistemas, múltiples veces y el tráfico de información se producirá de ida y vuelta, una y otra vez entre los servidores web, creando al final un efecto de "negación del servicio" (DoS), a causa de la enorme cantidad de datos que serán transferidos entre todas las direcciones IP involucradas.
4. El Centésimo hilo verifica si el sistema Windows NT/2000 es una versión en idioma inglés.
   • De ser así, el gusano procederá a desconfigurar el sitio web del sistema infectado. La página web de Inicio del servidor será cambiada a un mensaje que presentará este gráfico: 

   

    

   • "Welcome to http://www.worm.com!, Hacked By Chinese!". Este mensaje en la página infectada, permanecerá activa por 10 horas y luego desaparecerá. El mensaje no se volverá a mostrar, a menos que el servidor sea re-infectado por otro sistema.
   • Si el sistema no tiene Windows NT/2000 en inglés, el hilo 100 es usado para infectar otros servidores. 
   • Cada hilo del gusano busca el archivo c:\notworm y si éste es hallado, el gusano permanecerá inactivo. 
   • Si este archivo no es hallado, cada hilo continuará intentando infectar más servidores web.
5. Cada hilo del gusano verifica la fecha del sistema del servidor infectado.
   • Si la fecha es posterior al día 20 del mes, el hilo dejará de buscar sistemas para infectar y en su lugar atacará el servidor web de La Casa Blanca de los Estados Unidos: www.whitehouse.gov. El ataque consiste en el envío de 100k bytes of datos al puerto 80 de www.whitehouse.gov.
     Este aluvión de información (410 megabytes cada 4 horas y media) provocará la saturación de los servicios infectados.
   • Si la fecha es entre el 1o y el día 19 del mes. el gusano no intentará atacar al sitio web de la Casa Blanca y continuará tratando de infectar nuevos servidores web en todo el mundo.

Una información oportuna a los responsables del sitio web de la Casa Blanca, hizo que cambiaran la dirección IP de su servidor y de este modo evitaron los estragos. Se estima que CodeRed puede infectar medio millón de direcciones IP al día, lo cual podría crear un caos en Internet. 

Por lo pronto se ha notado la caída de muchos servidores web y/o la extrema lentitud de los mismos, en su navegación.

Los usuarios de servidores con MS Internet Information Server deberán descargar e instalar a la brevedad posible los parches creados por Microsoft desde los siguientes URL: 

Windows NT 4.0:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server y Advanced Server:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800

Una vez descargados estos parches, se deberá reiniciar los sistemas en forma inmediata.

El 07 de Agosto del 2001, a causa del gusano CodeRed, los servidores de la Casa Blanca, sede de la Presidencia de los Estados Unidos migraron a Linux:

http://linuxsecurity.org/articles/government_article-3392.html

Los servidores web que no tengan instalado el Microsoft Internet Information Server NT o Windows 2000 no serán infectados.

PER ANTIVIRUS® con registro de virus al 07 de Agosto del 2001 detecta y elimina eficientemente al archivo binario que contiene el gusano CodeRed así como todas sus variantes, debido a un sofisticado proceso de programación que nos permitió capturar las imágenes del código binario empleado por esta nueva técnica de programación de virus, gusanos y caballos de troya.