Code Red (Computerwurm)

Code Red ist eine Familie von Computerwürmern, die sich ab dem 12. Juli 2001 im Internet verbreitete. Die ersten befallenen Rechner wurden am 13. Juli an eEye Digital Security gemeldet, wo Marc Maiffret und Ryan Permeh die erste Analyse durchführten. Den Namen erhielt der Wurm in Referenz zur Defacement-Meldung und nach dem Getränk Mountain Dew Code Red, das die beiden Analysten während der Untersuchung tranken.^[1]

Die meisten Infektionen verursachte die zweite Version von Code Red, die über 359.000 Rechner am ersten Tag infizierte.^[2] Gefährlicher war der neue Wurm Code Red II, der ab Anfang August kursierte, da er eine Backdoor installierte.^[3] Alle Varianten zusammen haben schätzungsweise 760.000 Rechner infiziert.^[4]

Schadfunktionen

Neben der Funktion zur Weiterverbreitung enthielt Code Red auch zwei eigentliche Schadfunktionen. Die Aktivität der Funktionen wurde über den Monatstag gesteuert. Ab dem 28. bis zum Ende des Monats führte er keine Aktionen aus.

Code Red II besaß abgesehen von der Verbreitungsfunktion nur eine Schadfunktion. Die Aktivität war nicht vom Datum abhängig.

Verbreitung

Die ersten 19 Tage jedes Monats versuchte sich Code Red zu verbreiten, indem er Verbindungen zum Standard-HTTP Port von zufälligen IP-Adressen aufbaute und versuchte einen Pufferüberlauf in der Komponente Index Server des Internet Information Server von Microsoft auszunutzen.

Dieser Angriff wurde durch 100 Unterprozesse parallelisiert. Durch einen Fehler kam es gelegentlich vor, dass auf einem befallenen Server mehr als die vorgesehenen 100 Prozesse gestartet wurden. Dies führte, wie auch die Netzwerklast der Verbreitungsversuche, zu einer Verknappung der Ressourcen.

Auch andere Systeme als der IIS waren betroffen, jedoch führte Code Red nicht zu einer Infizierung. Manche Systeme (z.B. Cisco 600 Serie) stellten aufgrund von Fehlern den Betrieb ein. Microsoft stellte bereits drei Wochen vor Entdeckung des Wurms einen Patch zur Behebung der Lücke bereit.^[5] Auch für betroffene Produkte von Cisco existierten vor dem Ausbruch bereits Fehlerbehebungen.^[6]

Code Red II verwendete zur Verbreitung die gleiche Sicherheitslücke.

Defacement

Wurde ein System befallen, dessen Lokalisierung der der USA entsprach, so änderte der hundertste Prozess sein Verhalten. Er änderte die Installation des IIS so, dass die Seite “HELLO! Welcome to http://www.worm.com! Hacked By Chinese!” anzeigte. Nach zehn Stunden wurde dieses Defacement wieder rückgängig gemacht.^[1]

Denial of Service

Nach der Verbreitung und einem eventuellen Defacement wurde zwischen dem 20. und 27. jedes Monats die zweite Schadfunktion aktiviert. Dabei wurde eine DDoS-Attacke auf eine feste IP-Adresse gestartet, die ursprünglich die der Internetpräsenz des Weißen Hauses war.

Abgesehen von dieser expliziten DDoS-Attacke gab es auch durch die Verbreitungsroutine induzierte Ausfälle.

Backdoor

Der neue Wurm Code Red II installierte eine Backdoor, verzichtete aber auf Defacement und DDoS. Die Nebeneffekte der Verbreitung verstärkten sich aber durch die geänderte Erzeugung der IP-Adressen.^[3]

Verbreitungsgeschichte

Die erste Version von Code Red (genauer Net-Worm.Win32.CodeRed.a^[7] oder CODERED.A^[8]) verbreitete sich nur langsam, da durch einen statisch initialisierten Zufallsgenerator immer die gleichen IP-Adressen infiziert wurden. Erst die zweite Version (CODERED.B^[9]) verwendete wirklich zufällige IP-Adressen und befiel am 19. Juli innerhalb von etwa 14 Stunden über 359.000 Rechner. Beide Versionen konnten durch einen Neustart des Rechners entfernt werden.^[2]

Code Red II (auch CODERED.C^[10]) wurde ebenfalls zu dieser Familie gezählt, da er den Namen referenzierte und die gleiche Sicherheitslücke ausnutzte. Allerdings war er umgeschrieben worden und manche Sicherheitsexperten vermuten einen anderen Autor.^[11] Insbesondere hatte er einen ausgefeilteren Algorithmus für die Auswahl der IP-Adresse und die Backdoor war nicht nur im Arbeitsspeicher hinterlegt, sondern wurde nach einer Benutzeranmeldung erneut ausgeführt.^[2][11] Der Wurm deaktivierte sich nach dem 1. Oktober selbst, jedoch gab es bis 2003 verschiedene Weiterentwicklungen. Die Backdoor blieb installiert.^[10][11][12]

Verursachter Schaden

Der ursprünglich beabsichtigte Angriff auf die Internetpräsenz des Weißen Hauses durch Code Red lief ins Leere, da die Systemadministratoren rechtzeitig die IP-Adresse des Dienstes änderten. Dennoch verursachte er Schaden durch die Ausfälle und die Bekämpfung des Schädlings.

Nach einer Schätzung durch Computer Economics, verursachten die Code Red-Würmer bis Ende August 2001 einen Schaden von mindestens 2,6 Milliarden US-Dollar, wovon 1,1 Milliarden auf die Bekämpfung und 1,5 Milliarden auf Umsatzausfälle fielen.^[13]

Einzelnachweise

1. ↑ ^{a b} eEye Digital Security: ANALYSIS: .ida "Code Red" Worm
2. ↑ ^{a b c} CAIDA Analysis of Code-Red
3. ↑ ^{a b} eEye Digital Security: ANALYSIS: CodeRed II Worm
4. ↑ PC World: Code Red Costs Could Top $2 Billion
5. ↑ Microsoft Security Bulletin MS01-033
6. ↑ Cisco Security Advisory: "Code Red" Worm - Customer Impact
7. ↑ Kaspersky Lab: Net-Worm.Win32.CodeRed.a
8. ↑ Trend Micro: CODERED.A
9. ↑ Trend Micro: CODERED.B
10. ↑ ^{a b} Trend Micro: CODERED.C
11. ↑ ^{a b c} F-Secure Virus Descriptions : CodeRed
12. ↑ US General Accounting Office: Code Red, Code Red II, and SirCam Attacks Highlight Need for Proactive Measures (PDF)
13. ↑ Out-Law: Code Red cost $2.6 billion worldwide

Weblinks

• Facharbeit Computerwürmer mit Code Red als Beispiel
• Tom's Hardware: Code Red: DoS Angriff aufs Weiße Haus
• EnVision Vol. 17 No. 3: Hot on the Trail of ‘Code Red’ Worms (englisch)
• Spiegel Online: Code Red II - Neuer Wurm auch in Deutschland