Ny Code Red II legger igjen bakdør

En ny Internett-orm ble funnet i det fri lørdag. "Code Red II" legger igjen en "bakdør" og utnytter den samme sårbarheten i Microsofts serverprogramvare som Code Red.

En "bakdør" betegner en varig forbindelse som en hacker kan bruke til å ta kontroll over en datamaskin.

At Code Red II bruker den samme sårbare bufferen i Microsoft Internet Information Server (IIS) som Code Red til å infisere sine ofre, innebærer at den avvises av den samme fiksen som de fleste systemadministratorer nå ser ut til å ha installert. Det innebærer at skadevirkningene bør bli forholdsvis begrenset. Scanningstakten fra Code Red er nå nede i rundt 40.000 nye IP-adresser i timen, ifølge SANS Institute. Sårbarheten som Code Red og Code Red II utnytter, ble kunngjort av eEye i juni, og umiddelbart fulgt opp av en fiks fra Microsoft.

Koden til Code Red II skal ellers være så forskjellig fra Code Red at det ikke egentlig er snakk om en ny variant av den samme ormen. I tillegg til bakdøren, er en annen klar forskjell at GET-forespørselen som logges i den angrepne web-serverens logg inneholder "XXXXXX" i stedet for den opprinnelige "NNNNNN" til Code Red. Det er ikke meldt at Code Red II automatisk iverksetter et tjenestenektangrep ("DoS") mot noen bestemt Internett-tjener, slik Code Red gjorde mot tjeneren i den amerikanske presidentboligen i Washington.

Wall Street Journal skriver at eksperter gransker koden i Code Red for å prøve å finne fram til opphavet. Man prøver også å rekonstruere det opprinnelige smittemønsteret. Koden skal gjenspeile svært avanserte ferdigheter, samtidig som den er beheftet med pussige elementære småfeil. Code Red har antakelig oppført seg på et vis som opphavet ikke hadde tenkt seg, og skal minne om kode som ble brukt i et angrep mot et forskningslaboratorium til USAs energidepartement i april. Denne koden utnyttet imidlertid en annen sårbarhet i Microsoft IIS.

Koden i Code Red inneholder ingen åpenbare tegn om kan varsle om opphavets identitet, i motsetning til for eksempel IloveYou som inneholdt navnet på skolen som opphavet gikk på. Meldingen "Hacked by Chinese!" som juli-utgaven av Code Red la igjen, tillegges ikke vekt. At tre av de første maskinene som ble identifisert som spredere av Code Red var i Kina, betraktes også som et avledningsmanøver fra opphavet.

Til Reuters sier sikkerhetsekspert Bruce Schneier at kombinasjonen som Code Red sto for - selvspredende ormer og automatiserte tjenestenektangrep - er et varsel om hvordan denne formen for datakriminalitet vil utvikle seg. Han mener at sabotører etter hvert vil finne ut hvordan de ikke bare kan ramme servere, men også rutere og svitsjer, og at framtidens ormer vil være langt mer skadelige enn Code Red. Han spår blant annet at servere vil kunne reformateres og bli tappet automatisk for følsom informasjon som kreditkortnummere.

Til toppen