Código rojo II

Code Red II (también conocido erróneamente como CRv3 o Code Red 3.0 ) es un gusano de red que apareció en la mañana del sábado 4 de agosto de 2001 , algo más tarde que el virus Code Red [1] .

Aunque se podría pensar que este gusano es una variante de Code Red, en realidad son dos gusanos diferentes que se propagan usando diferentes algoritmos y contienen diferentes payloads [2] .

Nombre incorrecto del virus

Code Red II a menudo se conoce como Code Red 3.0 o CRv3 porque a menudo se confunde con una nueva versión de Code Red, aunque el "primer" gusano solo tenía dos versiones [2] .

Esquema de trabajo

El algoritmo para generar direcciones IP y difundir Code Red II está más orientado a infectar máquinas de la misma subred que la máquina infectada, este algoritmo era bueno para infectar a usuarios con módems de cable . Si bien es poco probable, es posible que un usuario reciba ambos gusanos Code Red [1] .

En 1 de cada 8 casos, el gusano generará una dirección IP aleatoria que no está en ninguno de los rangos de direcciones IP locales, en la mitad de los casos permanecerá dentro del mismo rango Clase A de la dirección IP local, y en 3 de cada de 8 casos permanecerá en el mismo rango de Clase B de la dirección IP local. Si la dirección IP generada comienza con 127 o 224 o coincide con la dirección del sistema local, se generará una nueva dirección [2] .

Al infectar, el gusano también verifica si el idioma local de la máquina es chino y si el "átomo" "CodeRedII" está instalado en él: si es así, el virus se duerme, de lo contrario, el virus instala el átomo y continúa su trabajo. Crea un troyano explorer.exe a través del cual un atacante puede acceder de forma remota al servidor [2] .

Después de su trabajo, el gusano duerme durante 1 día (2 días si el idioma del sistema es chino), después de lo cual reinicia Windows [2] .

Tanto Code Red como Code Red II explotan la misma vulnerabilidad en Internet Information Services . Microsoft lanzó un parche en el que se solucionó la vulnerabilidad a mediados de junio del mismo año, un mes antes de la aparición de ambos virus. A finales de julio, tras el despertar de Code Red, se organizó una campaña para animar a los usuarios a instalar este parche [3] .

Firma Code Red II mostrada en el registro del servidor web:

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u9090%u8190%u00c3%u0003%u8b00%u531b% u53ff %u0078%u0000%u00=a HTTP/1.0

Se diferencia de la firma Code Red en que los caracteres "N" se sustituyen por "X" [1] .

Véase también

• Nimda : un gusano que usaba puertas traseras después de Code Red II

Notas

1. ↑ 1 2 3 Análisis de la nueva variante "Code Red II" (enlace no disponible) . Unixwiz.net. Fecha de acceso: 2022.05.14. Archivado desde el original el 13 de diciembre de 2019. (indefinido) 
2. ↑ 1 2 3 4 5 Soluciones de gestión de vulnerabilidades (enlace no disponible) . eEye Seguridad Digital . Fecha de acceso: 2022.05.14. Archivado desde el original el 5 de diciembre de 2004. (indefinido) 
3. ↑ Microsoft ve rojo: el gusano infecta sus propios servidores (enlace no disponible) . Mundo PC. Fecha de acceso: 2022.05.14. Archivado desde el original el 27 de abril de 2007. (indefinido)