«Blue Code» борется с «Code Red» и IIS-серверами

«Лаборатория Касперского» сообщает об обнаружении «Blue Code» — очередной вредоносной программы, атакующей Web-серверы под управлением пакета Microsoft Internet Information Server (IIS). На данный момент компания получила несколько сообщений о фактах распространения данной вредоносной программы в Китае.

Подобно «Code Red», «Blue Code» поражает IIS-серверы, однако для проникновения на них он использует другую брешь в системе безопасности этой платформы — Web Directory Traversal, которая была обнаружена в октябре 2000 г. Внедрение на целевой сервер происходит таким образом, что сначала червь получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его.

Файл-носитель червя создает в корневой директории диска C несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Таким образом, «Blue Code» пытается скрыть свое присутствие в системе.

Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что червь будет активизироваться после каждой загрузки компьютера.

В свою очередь, файл D.VBS предпринимает ряд действий, направленных на удаление из памяти активных копий червя «Code Red» и создание защиты от него. В частности, он находит и дезактивирует приложение INETINFO.EXE, отвечающее за предоставление доступа к ресурсам WWW-сервера. Кроме того, «Blue Code» изменяет обработку специализированных HTTP-запросов, c целью нейтрализации возможных попыток проникновения на сервер червя «Code Red». Таким образом «Blue Code» освобождает ресурсы компьютера для своих нужд.

Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительность зараженного IIS-сервера.

«Blue Code» также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service) на сервер http://www.nsfocus.com.