Nieuwe Code Red variant?

Er lijkt in Nederland een nieuwe variant op de IIS Worm 'Code Red' gesignaleerd te zijn. Deze variant is veel intensiever in zijn scans naar slachtoffers dan de originele 'Code Red'-worm. De scans van deze nieuwe variant zijn te herkennen aan een ander formaat van de request-string. Kwamen bij de vorige 'Code Red' uitbraak gemiddeld zo'n 2 a 3 scans per uur binnen, door deze variant is sinds vanmiddag half 4 een scherpe stijging te zien in het aantal scans, soms meer dan 20 per uur.

De requeststring van deze variant ziet er als volgt uit (Apache logfile):

212.120.117.3 - - [04/Aug/2001:18:18:02 +0200] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 286

Wellicht ten overvloede: mocht je je eigen IIS draaiende server nog niet gepatcht hebben, haal dan alsnog de patch op. Zie voor meer informatie over deze nieuwe variant, de nieuwsgroepen nl.internet.misbruik en nl.internet.www.server-side.

Update: bij www.incidents.org hebben ze een grondige analyse van deze nieuwe variant online gezet.

Bedankt Jan Ehrhardt en Erik Hensema voor de tip!

IT-banen

Reacties (84)

Verwijderd 4 augustus 2001 21:53

Eigenlijk zou je als een eigen variant er voor zorgen voor een slim scan mechanisme maar ja dan moet je nadenken en is het geen copy paste meer

Een worm maken met ingebouwd smtp functie en een mail sturen naar ms met de boodschap.. "An otherone bites the dust =;-) "

En dan wel naar een hostname i.p.v. van een ip addy..

Maar ja moet je weer moeilijk doen tijdens het 'vrij laten' van een worm om onbekend te blijven.

Verwijderd @Verwijderd • 5 augustus 2001 00:55

Misschien een beeeetje OT, maar er bestaat een virus op de Amiga (kent iemand die nog?) die dus een ingebouwde SMTP functie had en emailtjes verzond met 'Another one bites the dust'. En nu spreek ik over 1997. Het was dan wel geen worm...

Eigenlijk is alles al eens een keer gedaan, maar tegenwoordig gaat het op veeeel grotere schaal.

DaZZle 4 augustus 2001 22:45

op www.security.nl:

Een nieuwe variant van de Code Red worm die zich via lekke Microsoft IIS servers voortplant verspreidt zich zeer snel. Vanaf zaterdagmiddag 16:00 is er een scherpe toename van het aantal inbraakpogingen per uur te zien. De nieuwe worm is te herkennen aan de lange opeenvolgende reeks van X-tekens; bij de oude worm waren dat N-tekens:
213.65.x.x - - [ 4/Aug/2001:22:23:47 +0200] "GET http://x.x.x.x/default.ida?XXXXXXXXXXXXX

Meer nieuws zodra bekend.

Reageer (Geen reacties)

Verwijderd 5 augustus 2001 12:56

Het is zelfs nog veel leuker:

"Attack code runs for 24 hours, 48 hours on Chinese language systems."

Van NTBUGTRAQ (Kon het zo gauw niet online vinden, sorry):

k, here's the latest on this new variant.

1. It makes a copy of CMD.EXE called ROOT.EXE in the;

\inetpub\scripts

and

\program files\common files\system\msadc

directories. Does this on both drive C: and D: (doesn't fail if D: doesn't exist).

2. It then runs its attack program code to infect itself upon numerous other boxes. This is done randomly, although there is a bias to attack boxes that are part of the same class A as infected attacker (so it hits your own boxes sooner rather than later). Attack code runs for 24 hours, 48 hours on Chinese language systems.

3. After attack code runs (and it seems to be based on clock ticks, not date), it then writes out a Trojan.

File Explorer.exe (8192bytes or 7K as displayed by Windows) is dropped (from the code in the original attacking URL) to the root of drive C: and D: (again, doesn't matter if D: doesn't exist).

4. The system is then rebooted (probably a forced reboot).

5. When the system restarts, it loads the trojan Explorer.exe from the root directory on the boot drive. This code then does several things;

a) Launches the real Explorer.exe, so the system looks normal.

b) Sets SFCDisable in hklm\software\microsoft\windows nt\currentversion\winlogon to some undocumented value. Presumably this disables Windows File Protection (so critical files could be
overwritten)

c) Creates two virtual directories (via the registry) in hklm\system\currentcontrolset\services\w3svc\parameters\virtual
roots. Called "C" and "D", they are mapped to the root directories of the two drives and permissions are established in the virtual directory to allow script, read, and write access as well as setting execute permissions to scripts and executables.

d) goes into an endless sleep loop.

The end result of all of this action is to leave your box wide open to remote connection and total compromise.

Unlike "Code Red", this worm doesn't attack any single target at any point, although its attack strength seems to be much higher (it launches 300 threads right off, although some may only launch 100), so its propagation seems much higher.

The attack only works properly on Windows 2000 systems (preliminary analysis). ICSA Labs tested against an NT 4.0/IIS 4.0/SP3 box and received a standard error message. Reports from subscribers suggest that XP IIS 5.1 RC1 is invulnerable also. Its expected that it works on PWS and OWS equally to IIS (all on W2K).

Its obviously a short-lived attack, at least the process of collecting victims. What would be done with them once collected is another story. No attempt is made by the worm to send anything "home", although detecting compromised boxes is far too easy (very
unfortunately) for anyone outside your network.

Cleaning a compromised box should really be done by reformatting. Although logging is left on for the new virtual directories created (meaning you'd see access in your IIS logs), there's really no way to be sure that files haven't been implanted to leave other backdoors (not as part of this worm, but as part of the use of the opening it creates).

Credits:

The bulk of the analysis was done by Nick Fitzgerald of Virus-L (and
friends) and Roger Thompson of TruSecure. Additional help came from Bruce Hughes of the ICSA Labs.

Cheers,
Russ - Surgeon General of TruSecure Corporation/NTBugtraq Editor

Verwijderd 6 augustus 2001 00:22

Ik heb net zelf die disassembly bekeken, en het is niet 2x zoveel tijd op chinese systemen, maar 2x zoveel threads (600 i.p.v. 300 - De orginele code-red spawnde er 100). Wat effectief nog steeds betekent dat ie meer systemen scant vanaf chinese systemen.

Verder is het geen Code Red variant. Hij gebruikt de zelfde injectie-string als Code Red, maar de payload is totaal anders. En dus is het als een totaal andere worm geclassificeerd.

Om het helemaal duidelijk te houden hebben ze 'em Code Red II genoemd

Verder nog een reactie van de edit van de post van wiho door Mark Timmer:

"(Op deze manier moedig je mensen alleen maar aan om zelf varianten te gaan maken, lijkt me niet de bedoeling. Mark Timmer) "

Dit slaat echt helemaal nergens op en een beetje nadenken mag wel voordat je in andermans text gaat kloten.

Iemand die van die disassembly een nieuwe variant kan maken, die:

1. Heeft genoeg kennis om zich in het algemeen niet met dit soort trieste dingen bezig te houden.

2. Kan makkelijker zelf een nieuwe schrijven.

3. Heeft die disassembly allang gezien.

4. Zo niet, dan heeft ie 'em zelf binnen 1 seconde gevonden.

5. Behoort tot de 1% van de mensen hier die uberhaupt die disassembly al snappen.

Daarom post ik hier een URL naar de zip op www.eeye.com met daarin een analysis van Code Red II met daarbij (en een daaraan gekoppelde) gecommenteerde disassembly:

http://www.eeye.com/html/advisories/coderedII .zip

Net als ik heb gedaan in de thread over de orginele Code Red.

Waarom? Omdat als mensen die analysis nou eens gingen lezen de fabeltjes/misinformatie over die worm een stuk minder zouden worden. Die dingen worden niet voor jan lul geschreven hoor.

Verwijderd 4 augustus 2001 21:15

Tja........en als deze dingen steeds zoveel mediaaandacht krijgen, krijgen alleen maar meer mensen het idee om een virusje te bouwen.....
Maar daarentegen word er wel steeds meer aandacht besteed aan beveiligingen.

Bigs @Verwijderd • 4 augustus 2001 22:11

Das natuurlijk onzin. De mensen die zoiets in de krant lezen hebben waarschijnlijk niet de kennis om zo'n worm te maken.

angelina @Verwijderd • 5 augustus 2001 02:53

zoals de Chinezen

Volgens artikel http://www.tweakers.net/nieuws/17842 komt het virus niet uit china.

Bigs @Verwijderd • 4 augustus 2001 22:58

Hij beweert dat door die media-aandacht iedereen straks virusjes gaan bouwen en dat is imo niet echt zo. Hooguit als een groep (zoals de Chinezen) aandacht wil voor hun standpunt (alhoewel dit wel een overdreven manier is

cappie 4 augustus 2001 21:18

Ik heb in 2 uur tijd meer dan 93 van die get requests gehad op m'n webservertje.. maargoed.. da's 'n Apache gebakje-doos-dingetje, dus da's geen probleem

maargoed.. de media en alle aandacht die dat ding krijgt veroorzaakt meer dataverkeer dan de worm zelf..

Verwijderd @cappie • 4 augustus 2001 23:15

273 stuks in bijna een uur

. Dat zet je toch aan het denken nietwaar. Niet dat ik het erg vind dat mijn logfiles zo worden vervuild, maar het lijkt steeds sneller te gaan dan bv gisteren. Het genereert zo behoorlijk wat extra web-verkeer -> Het net word trager.
Ik heb maar een scriptje in mijn cron gezet wat automatisch mijn logfiles "schoonveegt" en automatisch een mailtje stuurt naar 'root@bron-ipadres' om die arme

admins te waarschuwen.

Verwijderd @cappie • 4 augustus 2001 21:20

Hetzelfde hiero

Sinds 3 dagen staan ze in rijen van 10 opgesteld voor de deur

En voorlopig denk ik dat dit ook nog lang niet weg is,
er zijn nog zoveel servers die een worm hebben op dit moment, ik denk dat we het rode worpmpje nog wel een paar maanden zien langs komen.

Verwijderd @cappie • 4 augustus 2001 22:35

Heb ik ook fucking veel last van... en ik zit op een chello lijntje! Dan vraag je je echt af... mensen...

Cloontje 4 augustus 2001 21:41

wat is iis?

Verwijderd @Cloontje • 4 augustus 2001 21:52

IIS is een web-server van microsoft. als je windows 2000 hebt, heb je zelf ook zo'n server, en bij windows 98 heet het personal web server

Verwijderd @Verwijderd • 5 augustus 2001 02:12

Volgens mij geld dat niet voor alle Windows 2000 installaties, ik kon namelijk kiezen om IIS niet te instaleren bij de setup van W2K Pro.

Onno @Verwijderd • 5 augustus 2001 12:51

IIS wordt zelfs standaard niet geinstalleerd bij Pro.

servies @Verwijderd • 7 augustus 2001 09:09

Hoe kan 't dan dat er zoveel besmette systemen zijn in 't chello network... Lijken me geen systemen van bedrijven te zijn. Wordt ie soms bij een van de standaard installaties wel default geinstalleerd en geactiveerd

goodfella @Cloontje • 5 augustus 2001 05:12

internet information server, toch?

_JGC_ 5 augustus 2001 12:38

Ik denk dat een heleboel Computer!Totaal lezers besmet zijn. Stond een keer een heel groot artikel over je eigen webserver. Hier werd voor w2k IIS aangeraden. Het hele artikel werd geen enkel woord gerept over Apache.

Heleboel lezers aan de IIS...

Vervolgens komt er nooit iets in de rubriek "Buggy" te staan over deze fout in IIS. Gevolg: een heleboel mensen die alleen de C!T lezen en kabel hebben blijven met een buggy IIS zitten.

Volgens mij zijn het dan ook voornamelijk de thuisgebruikers die nu met code red zitten. Van echte sysadmins kan ik me niet voorstellen dat ze die patch er nog niet op hebben staan.

wiho @_JGC_ • 5 augustus 2001 12:49

Volgens mij zijn het dan ook voornamelijk de thuisgebruikers die nu met code red zitten. Van echte sysadmins kan ik me niet voorstellen dat ze die patch er nog niet op hebben staan.

Ik zie inderdaad voornamelijk IP adressen van (kabel)modems voorbijkomen in de diverse Apache logs waar bij kan komen. Maar vergis je niet, ook van (semi)professionele websites krijg ik CodeRedII bezoekjes. Bijvoorbeeld www.rtv-noord.nl (is inmiddels weer hersteld, maar toch...).

Cipri @wiho • 5 augustus 2001 16:03

het lijken voornamelijk kabelaars te zijn omdat de worm eerst `dicht bij huis` scant. En dat zijn dus voor tweakers voornamelijk andere kabelaars

Server op men werk krijgt geen kabelaars maar vooral mensen met dezelfde probider, ook allemaal bedrijfen.
Toch maar evne een LInux server aansmeren

wiho @Cipri • 5 augustus 2001 18:58

het lijken voornamelijk kabelaars te zijn omdat de worm eerst `dicht bij huis` scant. En dat zijn dus voor tweakers voornamelijk andere kabelaars

Ik ben welliswaar kabelaar, maar draai geen webserver thuis en zeker geen IIS. De kabelmodem IP-adressen waar ik 't in m'n bovenstaande post over heb, staan in de logfiles van een paar webservers op de universiteit. En aangezien daar vrijwel alle webservers onder Unix draaien, hebben we geen last van IIS-exploits. De enige aanvallen die we zien, komen dus van andere netwerken, vaak van (Amerikaanse) kabel-providers.

Verwijderd 5 augustus 2001 21:49

Kunnen we als een initiatief van de Dutch Power Cows niet een variant maken die op de geinfecteerde pcee automatisch die MS-patch installeerd???

Zijn we dr zo vanaf lijkt me...

Verwijderd @Verwijderd • 5 augustus 2001 23:51

Grappig genoeg is dat juridisch weer een beetje een probleem.

Verwijderd @Verwijderd • 6 augustus 2001 13:18

En zou een tegenaanval legaal zijn (juridisch gezien)?

Ik stel mijn Apache in om shutdown-code te terugzenden
als het door de worm word aangevallen (aangenomen, dat
iemand deze shutdown code geproduceerd heeft, bijv dezelfde
security hole te gebruiken). Dat is maar (?) bedoeld om
mijn server en netwerk te weren tegen dit soort aanvallen.

Verwijderd @Verwijderd • 6 augustus 2001 15:58

Ik heb nu wat inelkaar geflanst:

Als een geinfecteerde server/pc een van mijn servers scant, dan doet mijn server het volgende:

-Delete C:\explorer.exe
-Delete /Scripts/root.exe en /msdac/root.exe

In de SYSTEM security context (niet vragen hoe ik van IUSR naar SYSTEM change, ik vertel het toch niet):

-Disable .ida scriptmapping
-Remove virtual dirs /C, /D
-Stel een loginbanner in met een verhaaltje + info over de worm
-Maak een bestand C:\READTHIS.HTML met daarin ook een verhaal
-Zet active desktop aan met dat bestand als achtergrond (heeft meteen effect)
-Force reboot

Ik maak me niet zo druk om die juridische shit, want waarschijnlijk zijn ze al blij zat....

0siris 4 augustus 2001 22:38

damn...ik al helemaal blij, meteen ff logfiles doorgespit, maar nee hoor, niemand !

Ik heb geen I-love-you-virus gehad, geen Kournikova virus, geen Melissavirus, slechts één SirCam mailtje, het is gewoon niet leuk meer!
Ik wordt gewoon genegeerd!

Verwijderd @0siris • 5 augustus 2001 05:05

Wat was je IP-adres ook alweer?

Verwijderd @0siris • 4 augustus 2001 22:38

ach zielepoot

Op dit item kan niet meer gereageerd worden.

Nieuwe Code Red variant?

Lees meer

IT-banen

Reacties (84)

Sorteer op:

Weergave: