Code Red worm valt duizenden webservers aan

Een waarschijnlijk uit China afkomstige worm onder de naam Code Red heeft volgens de laatste berichten bijna 200.000 servers gehackt, waarna de tekst "Welcome to http://www.worm.com! Hacked by Chinese!" op het scherm verscheen bij internetters die de pagina's laadden. Er wordt gebruik gemaakt een bug in Microsoft's Internet Information Server, waarvoor overigens al wel een maand lang een patch beschikbaar is. Blijkbaar zijn echter niet alle systeembeheerders zo slim geweest om het gat te dichten, waaronder zelfs de persoon die de computers achter WindowsUpdate onderhoudt. Volgens CNET is bovendien ook de site van het Witte Huis al aangevallen, maar het verplaatsen van de site naar een ander IP-adres voorkwam grote problemen.

Eenmaal op een PC gevestigd, onderzocht de worm honderd IP-adressen van nabij gelegen computers, om te kijken of hier ook de mogelijkheid tot inbreken op aanwezig was. Op deze manier verspreidde het zich als een lopend vuurtje, waarbij overigens alleen Engelstalige versies van IIS gebruikt werden. Op de genoemde site worm.com werd vervolgens waarschijnlijk een lijst aangemaakt van alle gekraakte sites. Nu is de site uiteraard al uit de lucht gehaald, maar de mogelijk is groot dat de programmeurs van de worm allang een behoorlijke lijst in hun bezit hebben. Buiten dat, kan er nu nog steeds informatie ingewonnen worden over welke servers aangevallen zijn.

Het geval wil namelijk, dat de worm zo is opgebouwd dat computers in een bepaalde volgorde aangevallen worden. Op deze manier kan iedereen er achter komen, welke servers al slachtoffer zijn van Code Red. Het in de gaten houden van de aanvallen van buitenaf tegen een computer, geeft een uitgebreid overzicht van alle geïnfecteerde PC's. Aangezien de makers ook niet dom zullen zijn hebben zij vast en zeker op deze manier al een lijst met alle aangevallen computers in hun bezit gekregen, maar zelfs anderen kunnen dus ook zomaar aan deze gegevens komen, wat de chaos compleet maakt. Hierbij is het mogelijk, om complete zeggenschap over de systemen te krijgen, mits de IIS-patch nog niet geïnstalleerd is. Er wordt dan ook ten sterkste aangeraden, dat alle systeembeheerders dat nu meteen doen, aldus ZDNet:

Known as the "Code Red" worm because of evidence that it may have been launched from China, the self-spreading program infects servers using unpatched versions of Microsoft's Internet Information Server software and defaces the Web sites hosted by the servers. The code is still being analyzed to see if it does any further damage. But the way the worm is written, it could allow online vandals to build a list of infected systems and later take control of them, said Marc Maiffret, chief hacking officer with eEye Digital Security.

[...]That's because each instance of the worm will attack the same computers in the same order, according to eEye's analysis. Maiffret said that while the addresses of the computers attacked by the worm seem to be random, because the worm uses the same starting point, or "seed," to generate the list, the "random" lists that any two worms generate are identical. Like identical genes, which produce a clone, identical seed numbers produce attack lists that are the same.

Met dank aan iedereen die ons op de hoogte stelde van deze gebeurtenis, een helaas te groot aantal bezoekers om bij naam te noemen.