Código rojo (gusano informático)

Code Red era un gusano informático observado en Internet el 15 de julio de 2001. Atacaba a los equipos que ejecutaban el servidor web IIS de Microsoft. Fue el primer ataque de amenazas mixtas a gran escala que se dirigió con éxito a las redes empresariales.

El gusano Code Red fue descubierto e investigado por primera vez por los empleados de eEye Digital Security Marc Maiffret y Ryan Permeh cuando aprovechó una vulnerabilidad descubierta por Riley Hassell. Lo llamaron "Código rojo" porque estaban bebiendo Mountain Dew Code Red en ese momento.

Aunque el gusano se lanzó el 13 de julio, el grupo más grande de equipos infectados se detectó el 19 de julio de 2001. Ese día, el número de hosts infectados llegó a 359.000.

Se propagó por todo el mundo y se volvió particularmente frecuente en América del Norte, Europa y Asia (incluidas China e India).

Concepto

Vulnerabilidad explotada

El gusano mostró una vulnerabilidad en el creciente software distribuido con IIS, descrita en el boletín de seguridad de Microsoft MS01-033, para el cual había un parche disponible un mes antes.

El gusano se propagó utilizando un tipo común de vulnerabilidad conocida como desbordamiento de búfer. Hizo esto usando una cadena larga de la letra 'N' repetida. para desbordar un búfer, lo que permite que el gusano ejecute código arbitrario e infecte la máquina con el gusano. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo y fue invitado a la Casa Blanca por su descubrimiento.

Una botella de Mountain Dew Code Red, después de lo cual el gusano fue apodado

Carga útil del gusano

La carga útil del gusano incluía:

• Defacing the affected web site to display:

¡Hola! Bienvenido a http://www.worm.com! Hacked by Chinese!

• Otras actividades basadas en el día del mes:
  • Días 1-19: Tratando de extenderse buscando más servidores IIS en Internet.
  • Días 20–27: Lanzar la negación de ataques de servicio en varias direcciones IP fijas. La dirección IP del servidor web de la Casa Blanca estaba entre ellas.
  • Días 28-fin del mes: Duermes, sin ataques activos.

Al buscar máquinas vulnerables, el gusano no probó si el servidor que se ejecutaba en una máquina remota estaba ejecutando una versión vulnerable de IIS, o incluso si estaba ejecutando IIS. Los registros de acceso de Apache de esta época tenían con frecuencia entradas como estas:

NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0NN0 HTTP/1.0

La carga útil del gusano es la cadena que sigue a la última 'N'. Debido a un desbordamiento de búfer, un host vulnerable interpretó esta cadena como instrucciones de la computadora, propagando el gusano.

Gusanos similares

El 4 de agosto de 2001 apareció Code Red II. Aunque usaba el mismo vector de inyección, tenía una carga útil completamente diferente. Eligió pseudoaleatoriamente objetivos en las mismas o diferentes subredes que las máquinas infectadas de acuerdo con una distribución de probabilidad fija, favoreciendo a los objetivos en su propia subred la mayoría de las veces. Además, utilizó el patrón de repetición 'X' caracteres en lugar de 'N' caracteres para desbordar el búfer.

eEye creía que el gusano se originó en Makati, Filipinas, el mismo origen que el gusano VBS/Loveletter (también conocido como "ILOVEYOU").