Архив

Code Red F — новое, но не забытое старое

В сети обнаружена новая модификация интернет-червя Code Red — Code Red F. Уже зарегистрированы несколько случаев заражения данной вредоносной программой

Напомним, что первая эпидемия инернет-червя — Code Red вспыхнула в июле 2001 года. 19 июля червь инфицировал более 250 тыс. систем по всему миру всего лишь за 9 часов. Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности Microsoft Internet Information Server (IIS), которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Во время первой эпидемии Code Red ущерб превысил миллиард долларов США.

4 августа 2001 г. была обнаружена новая модификация червя CodeRed — CodeRed.c. По сравнению с более ранними версиями, программный код «CodeRed.c» занимает меньше места и написан с большим знанием языка программирования Assembler. В этой версии также была исправлена ошибка, которая допускала существование нескольких активных процессов червя.

Опасность Code Red F — новой версии старого червя — в том, что он открывает доступ для дисков C: и D:, что делает сервер уязвимым для доступа. Новый вариант Code Red F отличается от червя от Code Red II всего двумя байтами кода. Так же как и его предшественник, Code Red F сканирует IP-адреса на предмет обнаружения уязвимых веб-серверов Microsoft IIS 4.0 и 5.0. После обнаружения «больного» сервера, червь его заражает, вызывая ошибку переполнения буфера. Червь записывает свою копию в память и на диск сервера, а также создает файл под названием Trojan.VirtualRoot, который открывает хакерам полный доступ к пораженному веб-серверу.

Тем пользователям, которые своевременно установили патч, устраняющий уязвимость в системе безопасности IIS, можно не беспокоиться. Новый Code Red им не страшен. Те же, кто этого до сих пор не сделал, может это сделать здесь и сейчас.

Code Red F — новое, но не забытое старое

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике