Sieciowe robaczyska

W dobie rozwoju e-commerce, bankowości internetowej czy pracy na odległość ogromnego znaczenia nabiera profilaktyka antywirusowa. Spowolnienie działania serwerów czy ograniczenie przepustowości łączy, powodowane działaniami robaków internetowych generują wymierne straty finansowe, liczone w milionach dolarów. Pół biedy, jeśli nie uda nam się kupić płyty w sklepie internetowym. Wtedy bez wahania udamy się do konkurencji i tam dokonamy zakupów. A co w sytuacji, gdy na czas nie prześlemy zamówionego projektu, bo zamilkł serwer poczty? Co się stanie, jeśli w naszym banku online nie będziemy mogli złożyć polecenia przelewu, a bankomaty odmówią posłuszeństwa? Taka sytuacja miała miejsce 25 stycznia tego roku, kiedy zaatakował Slammer.

Robak komputerowy jest programem, który potrafi powielać w Sieci swój kod, dążąc do przejęcia kontroli nad zarażoną maszyną. Przewagą robaków nad wirusami jest to, że zwykle nie potrzebują nosiciela, czyli aplikacji, do której muszą się “przykleić” — są po prostu samowystarczalne.

Pierwszy nad pierwszymi

Za pierwszego robaka wpuszczonego do Internetu uważa się program Roberta Morrisa, napisany 1988 roku. Wtedy w Stanach Zjednoczonych odmówiły posłuszeństwa komputery Sun i VAX, które przestały obsługiwać inne zadania, zajmując się całkowicie procesami generowanymi przez robaka Morrisa (patrz: ramka obok).

Od tego czasu w Sieci pojawiały się robaki, jak chociażby WANK (Worms Against Nuclear Killers) czy Ramen. Były one jednak lekceważone, bo nie wyrządzały dużych szkód. Tak było do lata 2001 r., kiedy zaatakował CodeRed. Nazwę taką nadali mu jego twórcy, którzy pili wówczas nowy napój Mountain Dew o nazwie “CodeRed”. Szkody powstałe w skutek aktywności tego “szkodnika” oszacowano na ok. 2,6 miliarda dolarów.

CodeRed

Historia działania robaka CodeRed swój początek bierze w czerwcu 2001 r., kiedy to firma eEye, zajmująca się bezpieczeństwem systemów informatycznych, poinformowała o błędzie w oprogramowaniu serwera WWW Microsoftu. Tydzień później Redmond opublikowało łatę naprawiającą błąd, jednak miesiąc po wiadomości o błędzie rozpoczął działanie CodeRed, wykorzystując właśnie tę lukę w systemie (patrz: rysunek powyżej).

Robak po zainfekowaniu serwera sprawdzał datę, jaka jest ustawiona w komputerze. Jeśli mieściła się ona w przedziale 1-19, tworzył listę losowych adresów IP, które następnie próbował atakować. Słabością tej wersji CodeReda było to, że na każdej zainfekowanej maszynie generował te same adresy IP. 20. dnia miesiąca robak zaprzestawał ataków na serwery z utworzonej listy i przechodził do ataku typu DoS (Denial of Service) na adres www1. whitehouse. gov. Atak trwał do 28. każdego miesiąca. Po 28. dniu miesiąca robak przechodził w stan uśpienia.

Wszystkie zarażone serwery IIS Microsoftu nie miały zainstalowanej poprawki opublikowanej przez tę firmę. Po serii ataków CodeReda pojawiła się jego nowa odmiana. Potrafiła ona na każdym zainfekowanym serwerze tworzyć całkowicie odmienną listę adresów IP, a więc każda zarażona maszyna atakowała inne serwery. W tym czasie atak następował z częstotliwością 11 prób na sekundę! Nowy CodeRed, podobnie jak jego pierwsza odmiana, nie wyrządzał szkód (nie licząc obciążenia serwerów). Dodawał jedynie informację “Hacked by Chinese” do strony głównej zainfekowanego serwera. Jednakże zawieszaniu ulegały takie urządzenia, jak modemy DSL, routery, switche czy nawet drukarki, kiedy to robak próbował się na nich zainstalować.

CodeRed II

Niestety, w sierpniu 2001 roku pojawiła się nowa, groźniejsza odmiana — CodeRed II. Mutacja po zaatakowaniu maszyny najpierw sprawdzała, czy serwer jest już zainfekowany — jeśli nie, robak inicjował mechanizm samorozsyłania, ustawiając w systemie “tylne wejście” i przeładowując komputer. CodeRed II, w przeciwieństwie do poprzedniej wersji, potrafił eksplorować całe sieci w poszukiwaniu wrażliwych na ten atak serwerów (CodeRed I sprawdzał tylko konkretne adresy IP). Nie zmieniał również treści stron WWW i nie dokonywał ataku DoS. Jednak przez to, że zostawiał “tylne drzwi”, które mogłyby zostać użyte w dowolnym momencie, okazał się dużo bardziej niebezpieczny. Pomimo że od czasu ataków CodeReda II upłynęło już półtora roku, w Internecie do dzisiaj mogą istnieć serwery z zainstalowanym “tylnym wejściem”.

Więcej:bezcatnews