CodeGreen worm patcht geïnfecteerde IIS servers

Op Newsbytes staat te lezen dat er twee nieuwe wormen zijn uitgebracht die erg veel op CodeRed lijken. CRClean wacht tot een CodeRed-geinfecteerde machine een connectie naar hem maakt en installeert dan de patch op die machine. Daarna kopieert hij zichzelf er naar toe en wacht daar op nieuwe connecties. Na een reboot de-installeert hij zichzelf. De worm 'CodeGreen' is iets aggressiever:

CodeRed CodeGreen, written by a German security expert who uses the nickname "Der HexXer," is designed to randomly scan the Internet for servers running Microsoft's IIS software that are infected with Code Red version II. When it finds a compromised IIS machine, the worm will attempt to download and apply the patch from Microsoft, and then will close the "back doors" left by the worm. The cleaned host will then itself begin the scanning process. [break] Snel na de eerste meldingen van CodeRed was er op de security mailinglijst bugtraq een discussie over dit idee, maar de ethische consequenties hadden tot nu toe programmeurs er van weerhouden om een schoonmaak-worm te schrijven. Ook nu laait de discussie weer op: [/break] Security professionals have for weeks debated the pragmatic and ethical issues involved in releasing a "benign" worm to combat the thousands of systems apparently still infected with Code Red. But Saturday marked the first time that developers have released such code.

A spokesperson for the Computer Emergency Response Team (CERT), told Newsbytes today that the federally funded security clearinghouse believes there are "serious ethical and legal problems with these kinds of clean-up worms."

De twee wormen zijn nog niet in het wild aangetroffen, maar aangezien de broncode ervan naar de 'vuln-dev' mailinglist van securityfocus is gestuurd, is het een kwestie van tijd voordat ze actief aan het ontsmetten zullen zijn.

Door Johannes Verelst

Nieuwsposter

Feedback • 04-09-2001 23:15 55

04-09-2001 • 23:15

55

Bron: Newsbytes

Lees meer

MS belooft beterschap; IIS-lek was echter gepatched
MS belooft beterschap; IIS-lek was echter gepatched Nieuws van 29 juni 2004
Voyager Alpha Force bedreigt webservers
Voyager Alpha Force bedreigt webservers Nieuws van 23 november 2001
Gartner: Gebruik geen IIS
Gartner: Gebruik geen IIS Nieuws van 26 september 2001
Experts keuren Code Red II 'cleanup worm' plan af
Experts keuren Code Red II 'cleanup worm' plan af Nieuws van 6 september 2001
Microsoft komt met tool om IIS veiliger te maken
Microsoft komt met tool om IIS veiliger te maken Nieuws van 31 augustus 2001
"Code Red is creatie van Amerikaanse overheid"
"Code Red is creatie van Amerikaanse overheid" Nieuws van 23 augustus 2001
Chello dreigt met afsluiten Code Red klanten
Chello dreigt met afsluiten Code Red klanten Nieuws van 15 augustus 2001
Nieuwe Code Red variant?
Nieuwe Code Red variant? Nieuws van 4 augustus 2001
Chinese experts: Code Red niet uit China afkomstig
Chinese experts: Code Red niet uit China afkomstig Nieuws van 31 juli 2001
Groot mediaoffensief tegen Code Red
Groot mediaoffensief tegen Code Red Nieuws van 30 juli 2001
Code Red worm waarschijnlijk 1 augustus in heraanval
Code Red worm waarschijnlijk 1 augustus in heraanval Nieuws van 29 juli 2001
Actie voor hulp aan 'Code Red'-worm slachtoffers
Actie voor hulp aan 'Code Red'-worm slachtoffers Nieuws van 22 juli 2001
Code Red worm valt duizenden webservers aan
Code Red worm valt duizenden webservers aan Nieuws van 20 juli 2001
Meer producten en artikelen
Bedrijfsnieuws

Reacties (55)

-Moderatie-faq
55
53
31
11
4
12
Wijzig sortering
Verwijderd 4 september 2001 23:22
Da's wel bijdehand bedacht. Nou, nog ff en Microsoft gaat hun webservers zo opzetten dat ze je hele systeem scannen bij een bezoekje aan hun site en meteen alle patches en service packs installeren die er maar te krijgen zijn. :)
Verwijderd @Verwijderd5 september 2001 00:03
Ik vind dat WindowsUpdate al heel aardig die kant op gaat, zij het dat ze natuurlijk vanaf www.WindowsUpdate.com ieders privacy redelijk respecteren en niet ongevraagd allerlei (compromitterende) informatie van jouw systeem opslaan/doorseinen.
tiguan @Verwijderd5 september 2001 00:06
Ja dat dacht ik dus ook. Totdat ik hfnetchk.exe ging gebruiken, bleek dat geen enkele patch toegepast was. Windowsupdate mag nog heel wat up to dater.
freaky @tiguan5 september 2001 10:48
Als ze willen controleren of ik/jij/wie dan ook een illegale versie draait betekend dat schending van de persoon z'n privacy. Ik geloof niet dat meneer M$ nog meer met privacy schending in aanraking wil komen, hij is er vroeger al iets te vaak mee in aanraking gekomen voor de zin van veel gebruikers. Bovendien, als er niet zoveel illegale kopieeen waren was windows NOOIT zo groot geworden, net als heel veel andere programma's. Heel veel bedrijven vinden het niet eens erg als jij hun hele dure pakket thuis illegaal gebruikt, als jij dan op de zaak maar gaat zeiken dat je het nodig hebt en het daar wel aangeschaft word dan hebben ze hun doel bereikt. Immers, veel programma's zouden nooit zo populair geworden zijn als ze nu zijn zonder de undergroud.
Verwijderd @tiguan5 september 2001 00:17
Het zal niet altijd de perfecte oplossing bieden maar het is wel een gratis dienst waar de meeste Windows-gebruikers dankbaar hun updates doen, inclusief de lieden met illegale windows versies. Dat Microsoft nog geen authentication voor windowsupdate heeft ingesteld lijkt mij pure goodwill en het helpt hen ook bugs te vinden waarschijnlijk.
mOrPhie @Verwijderd5 september 2001 09:09
Dit is heel makkelijk opgelost met het welbekende vinkje.

Dan kan je een vinkje zetten bij: Update this computer automatically with the newest and not-installed patches.

Dan zouden ze nog 3 lagen daarin aan kunnen brengen. Een waarde die aangeeft hoe belangrijk de patch is. En dat je in windows dan het level aan wil geven, van welk level je de patches wil downloaden (simple,important,crucial bijvoorbeeld).
Confusion @Verwijderd5 september 2001 10:15
Helaas zie je over het hoofd dat deze manier van patchen alleen kan werken wanneer een security hole als deze gepatched moet worden. Als CodeGreen eenmaal gewerkt heeft, kan CodeGreen niet nogmaals proberen zich te installeren op dezelfde server: hij heeft zijn eigen toegang dan dichtgegooid.
Verwijderd 4 september 2001 23:22
het idee van "goedaardige" virussen is natuurlijk nobel in aanleg. Maar in hoeverre het bij nobele bedoelingen zal blijven. De kans op misbruik is enorm. En niet alleen door cr(h)ackers. De verleiding voor het bedrijfsleven om hier "gebruik" van te maken is denk ik ook onweerstaanbaar..
Ludewig @Verwijderd5 september 2001 10:03
Deze virussen gaan zelf op het Internet zoeken en genereren daarmee allemaal Internetverkeer. Hiermee zijn de niet-gehackte systemen ook de dupe.

Waarom is het niet passief? De Code Red-geinfecteerde server scannen zelf andere computers. Dit kun je herkennen en ze dan patchen. Dan lijkt me het ook ethisch om zo'n 'goedaardig virus' te gebruiken. Je beschermt jezelf dan immers tegen het gedrag van een ander.
Verwijderd @Verwijderd5 september 2001 12:40
het idee van "goedaardige" virussen is natuurlijk nobel in aanleg. Maar in hoeverre het bij nobele bedoelingen zal blijven. De kans op misbruik is enorm.
Dat misbruik is er toch gewoon al? (bijv. Code Red)
kvdveer @Verwijderd5 september 2001 16:39
Ja, maar moet je dat misbruik verdubbelen? Dat is net zo iets als een tshirt met een gat repareren door het gat er uit te knippen. Het oorspronkelijke gat is er dan niet meer (en misschien rafelt het niet zo) maar het totale gat is groter...
DareDevil 4 september 2001 23:25
Dit is opzich goed voor de geinfecteerde machienes maar slecht voor iedereen. Het is namenlijk de verantwoordelijkheid van de systeem beheerder om er voor te zorgen dat de laatste updates worden uitgevoerd.
Als dit met meerdere beveilings lekken gaat gebeuren dan neemt de verantwoordelijkheid alleen maar af. Wat slecht is voor de veiligheid van systemen.
Verwijderd 4 september 2001 23:28
Op zich was dit natuurlijk wel te verwachten, het was ook al enkele malen gesugereerd op /.

De werking van de CRClean 'worm', vind ik zeer aangenaam, hierdoor raakt en het systeem van de worm af, en eventuele andere, en na de reboot is het dataverkeer weg..

die andere 'worm' moet echter wel weer geuninstalled worden voordat hij stopt met het nutteloos data verzenden en zo toch weer geld kost...
Verwijderd 4 september 2001 23:28
Dieven vang je met dieven, ok, maar etisch is het niet. Je gaat ook niet zomaar een huis binnen als daar de achterdeur openstaat om de lichten aan te doen en de deur af te sluiten. Ik vind dat je hiermee te veel de privicy van anderen schendt, ook al zijn jou bedoelingen wel goed.
Stealthje @Verwijderd5 september 2001 01:17
Privacy ? welke privacy ?

En welke privacy wordt er dan wel geschonden, er gebeurd niets, alleen het ding update je systeem.
Verwijderd @Stealthje5 september 2001 11:21
Nou je zegt het al: Het ding update JE systeem.

Dus het is iemands eigendom waar je dus eigenlijk van af moet blijven zonder toestemming van de eigenaar.

Hoe goed bedoelt het ook is, vind ik dat Laphroaig het goed weergeeft mbt tot het huis. Als ik er achter kom dat iemand bij mij of mijn systeem is binnen geweest dan vertrouw ik het gewoon niet en zal ik ongerust zijn of er uiteindelijk niet iets meer gebeurd is dan dat jij op het eerste oog of na lang zoeken kan zien.

Het blijft natuurlijk ieders eigen verantwoordelijkheid om z'n systeem uptodate te houden. En om geen ellendige virussen te verspreiden.
mars 5 september 2001 00:03
Er moet gewoon een speciale overheidseenheid opgericht worden die niets anders doet dan virussen op dit soort manieren bestrijden. Ethiek leuk, maar als we het met z'n allen er over eens zijn dat virussen slechts VEEL schade aanrichten dan zou ik zeggen dat het middel het doel wel heiligt. Vergelijk het eens met het blussen van je huis door de brandweer als je ze zelf niet gebeld hebt :). Daar wordt toch ook niet eerst een ethische discussie gevoerd voordat die brandslangen uitgerold worden, of wel? }>

Nog een vb-tje, dacht je dat je vrij mocht blijven rondlopen in onze samenleving als je besmet bent met bv het EBOLA-virus? Of je wilt of niet, maar dan zit je in no-time in quarantaine.

[off-topic]
Er wordt vaak gezegd dat in de geneeskunde van de toekomst door onszelf gefabriceerde/modificeerde goedaardige virussen wellicht gebruikt kunnen om mensen te genezen. Die virussen kunnen namelijk in theorie gewoon ff ons DNA patchen :7. Gentherapie noemen ze dat. Misschien ook een aardig naampje om te gebruiken voor CodeGreen, CRClean e.d.?
[/off-topic]

[way off-topic]
De meeste tweakers hier hebben een heleboel verstand van computervirussen, maar wellicht niet zo veel van biologische virussen. Het is wel leuk je te realizeren dat de analogie echt heel groot is. Een DNA virus bv, nesteld zichzelf in ons DNA (zoals een computervirus zich vaak in exe-files vestopt), zet de cel (computer) aan het werk om zichzelf vele malen te kopieren en op te sturen in kleine pakketjes naar nieuwe gastheren/cellen (waar het proces zich herhaalt). Het virus kan eigenlijk niks zonder gastheer (heeft geen eigen OS) en parasiteerd op specifieke zwakheden van specifieke soorten (client/OS). Een DNA-virus is echt niks anders dan een klein stukje code (DNA), zonder enige hardware. Meestal openbaart het zich pas nadat het zich al verspreid heeft.
[/way off-topic]
Eegee 4 september 2001 23:20
Laat deze worm voor mijn part maar los, al die irri XXXX-en van servers van mensen die NOG steeds niet de patch hebben geinstalleerd (naja irri XXX, ik kan me af en toe irriteren aan de laksheid van sommige mensen of wat 't ook moge zijn waarom ze die patch nog steeds niet hebben geinstalleerd).
freaky @Eegee5 september 2001 10:42
Yup yup laat maar los, ik krijg op m'n webserver nog steeds 20+ hits per dag van allemaal verschillende!! IIS servers die nog steeds besmet zijn. Hadden ze maar apache moeten draaien, wat zijn die NT'ers toch veelal lui zeg begin d'r echt moe van te worden. Heb ze in het begin nog proberen te waarschuwen maar het beginnen er echt veel en veelste veel te worden om al die systeembeheerders te achterhalen. PS ik heb ook allemaal NNNNNN's (code red 2? heb ze in ieder geval pas vanaf die tijd)

edit:

heh die flamebait van jou komt zeker van die luie nt mensen die het nog steeds niet gepatched hebben.
Verwijderd @freaky5 september 2001 10:44
NNNN is code red 1
XXXX is code red 2
GreeTz @Eegee5 september 2001 15:06
tja ik heb eigenlijk liever geen automatische updates op mn server door m$ laat staan door een 3rth party
Hennie-M 4 september 2001 23:39
het is erg gaaf dat dit er is.
maar was een bijeffect van die wormen juist dat ze zoveel internet verkeer veroorzaakte?
als deze op precies dezelfde manier gaan werken (scannen,infecteren,verder scannen) dan krijgen we weer dat gedoe dat alles plat gaat!
Turtle @Hennie-M5 september 2001 00:08
Als je de tekst had gelezen had je geweten dat CRClean passief wacht tot Code Red connectie maakt met het hem om vervolgens de machine waar Code Red op staat cleaned. En dat Code Green inderdaad zelf op zoek gaat en traffic veroorzaakt.

Dus als je gewoon de nieuw-posting had gelezen was die vraag van jou overbodig.
DeBolle 5 september 2001 01:01
Dit is net een stap te ver. Signaleren en waarschuwen, daarna moet het ophouden. Waarom willen we geen van allen een snelheidsbegrenzer in onze auto terwijl dat ons rijgedrag mogelijk gunstig beinvloedt? Dat is ook net die stap te ver.
Een gevolg kan zijn dat we nu gescand zullen worden door zowel white als black hats zodat het ontaardt in een 'live' wedstrijd wie het slimste is ..
Een ander mogelijk gevolg is het 'lui' maken van de willekeurige beheerder - 'Ik hang 'm gewoon in het net, zie ik morgen wel of t'ie gepatcht is'.
Als het script alles klaar zet en dan een melding op het scherm zet - voor mijn part met een annoying beep elke tien seconden - met de vraag 'Doen of niet' blijven we aan de goede kant.
Ik vind dat dat ene buttontje er tussen moet zitten.
mars @DeBolle5 september 2001 01:20
Een beheerder OK, daar heb je wel een punt. Maar wat dacht je van je grootje die net weet hoe ze een e-mailtje moet sturen? Die zou er wel bij gebaat zijn als er iemand het actief voor haar opnam. Maar goed, misschien dat voor haar filtering/support bij de ISP ook een oplossing zou zijn.

De bolle: nu is het IIS, de volgende keer is het weer vbs of zo. Het gaat om het principe.
DeBolle @mars5 september 2001 01:29
Ehm - net weten hoe ze een email stuurt en IIS geinstalleerd hebben staan? Dat soort gebruikers (en da's niet negatief bedoeld) zullen niet gauw IIS hebben draaien - voor de rest hebben ze Windows Update.

Beheerders die net weten hoe ze een email sturen en toch Win2K AS hebben staan met twaalf virtual hosts - da's de categorie die in aanmerking komt om van het net gemept te worden :)
Chatslet @DeBolle5 september 2001 09:33
Let even op wat er getypt werd. Hij zegt dat het de volgende keer bijvoorbeeld net zo goed met VBS kan gebeuren en dat is dus wel iets wat iedere boere lul die net een emailtje kan versturen binnen kan halen dus het gaat om het principe
DeBolle @DeBolle5 september 2001 09:47
Ja. Ik zal daar op letten. Sterker nog, ik heb daar op gelet - de opmerking met betrekking tot VBS is namelijk door mars toegevoegd NADAT mijn reactie was geplaatst.

Terug naar het in het deze thread verschijnende 'principe' - ik mag concluderen dat jij vindt dat VBS scripters op mijn PC elkaar mogen bestrijden zonder dat ik daarvan weet?

Code Green scant, vindt, patcht en reboot zonder tussenkomst van de eigenaar/beheerder. Als ik dat principe toepas op m'n thuis- of werk PC'tje dan zou ik moeten toestaan dat anderen regelmatig hetzelfde doen? Bij een spontane reboot moet ik dan m'n schouders ophalen en zeggen 'Zal wel weer een virus/script/trojan verwijderd zijn'?

Dat overtuigt me allerminst - dat ene buttontje met 'Doen of Niet doen?' wil ik gewoon zien om te weten wat er gebeurt.
Verwijderd 5 september 2001 07:57
CodeGreen lijkt mij zelf een worm, die op de duur voor net zoveel ellende kan zorgen als CodeRed.

Als ik het goed begrijp gaat hij zelf op zoek door te scannen, nou lekker dan wordt het internet nog een stukje trager. Nee dit is geen goede oplossing.
TeeDee @Verwijderd5 september 2001 08:59
CodeGreen is idd gewoon CodeRed alleen dan goedaardig. Die is dus een stuk "agressiever" dan CRClean. CRClean komt pas in actie zodra een server die besmet is met *Red verbinding met hem maakt. Maar ja, dit stond ook al in de posting. :)
Coffeemonster @TeeDee5 september 2001 09:21
Ik vraag me af in hoeverre CodeGreen goedaardig is. Je vervangt een portscannende worm door een andere portscannende worm. Het enige verschil is dat CodeGreen alleen servers "besmet" die al besmet zijn door CodeRed.

En moet er straks nog een patch uitkomen voor CodeGreen?
TeeDee @Coffeemonster5 september 2001 09:30
Laat ik het anders zeggen:

CodeRed is destructief (in een bepaalde vorm)
CodeGreen is niet destruktief. Owke, eens, het zorgt voor dataverkeer, maar verwijdert het destructieve CodeRed. Het zal misschien niet lang duren voordat er iets is wat de CodeGreen code gebruikt, alleen dan voor de wat misdadige praktijken. Denk ik :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq