Jacqueline GT: /* Fuentes */

2017-07-10T17:40:06Z

‎Fuentes

Morales11012: Página creada con «{{Definición |nombre= CodeRed.worm |imagen= |tamaño= |concepto= Este gusano, se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Micr...»

2017-07-10T16:15:55Z

Página creada con «{{Definición |nombre= CodeRed.worm |imagen= |tamaño= |concepto= Este gusano, se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Micr...»

Página nueva

{{Definición
|nombre= CodeRed.worm
|imagen=
|tamaño=
|concepto= Este gusano, se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Microsoft IIS 5.0
'''Detección agregada''':
'''Descripción agregada''':
'''Otras versiones''':
}}<div align=justify>
'''CodeRed.worm''' ''(Code Red)''
Comparado al [[malware]] moderno Code Red parece no ser tan peligroso, sin embargo en el [[2001]] sorprendió a expertos de seguridad en línea al utilizar una falla en el [[Servidor]] de Información de Microsoft, logrando bajar y cambiar algunos sitios web. El más memorable quizá fue el sitio de la Casa Blanca: whitehouse.gov y obligó también a otros sitios gubernamentales a bajar sus páginas momentáneamente.
==Características==
'''Virus CodeRed.worm''', Alias: ''W32/Bady, CODERED.A, HBC, W32/Bady.worm'' es un Gusano de tamaño aproximadamente 4 Kb. Una de las características más singulares de este gusano, es que el mismo no modifica ninguna página HTML, ni copia archivo alguno con su código en la máquina infectada. Funciona siempre residente en memoria, e intercepta las funciones normales del servidor, para mostrar en lugar de la página HTML solicitada, la suya, creada a partir del código residente en la memoria. Esto hace que pueda ser sacado fácilmente, simplemente reiniciando la computadora infectada.
==Infección==
Este [[gusano]], se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los [[servidores Microsoft IIS 5.0]]. Esta falla permite, mediante el aprovechamiento de un desbordamiento de búfer, la ejecución de código capaz de tomar el control del servidor web, a través de las extensiones ISAPI.
El gusano CodeRed se propaga, escaneando servidores que corran IIS 5.0 (Internet Information Server), desde una lista de direcciones IP generada aleatoriamente. Cuando encuentra un servidor en alguna de esas direcciones, el gusano intenta ingresar al sistema a través del puerto 80, explotando la mencionada vulnerabilidad.
Cuando ingresa en una computadora vulnerable, el gusano examina la existencia de un archivo C:\NOTWORM, (creado por el propio gusano bajo ciertas condiciones, si la máquina ya ha sido infectada). Si no existe, el gusano continúa su labor, de lo contrario puede permanecer residente.
Solo infecta sistemas que se estén ejecutando en idioma inglés ([[Windows NT]] y [[2000]]). Si se cumple esta condición, el gusano permanece latente por unas dos horas antes de dar sus siguientes pasos.
Este lapso de tiempo, permite que el gusano se pueda propagar con mayor libertad antes que el usuario o el administrador del sitio, pueda detectar su presencia. En ese periodo, el gusano crea 100 threads simultáneos (tareas independientes, cada una consumiendo su propia memoria y recursos del procesador), y corre en cada una de ellas su propio código, en un bucle que usa para analizar la presencia de otras máquinas vulnerables, a las que pueda conectarse para infectarlas. Esta acción puede afectar la estabilidad del sistema, e incluso llegar a colapsarlo, como en un ataque de negación de servicio (D.o.S).
En la segunda parte de su acción, el gusano busca el archivo [[KERNEL32.DLL]], y se engancha a algunas funciones necesarias para su funcionamiento. Utiliza también las librerías [[INFOCOMM.DLL]], [[W3SVC.DLL]] y [[WS2_32.DLL]]. Estos archivos están presentes en un sistema como el mencionado.
Las funciones enganchadas, le permiten interceptar los requerimientos de los clientes (browsers) que visitan el sitio, mostrando en lugar de la página solicitada, una con el siguiente texto:

''Welcome to http://www.worm.com !''
''Hacked By Chinese!''

El sitio mencionado en esta página, no posee ninguna relación con los creadores del virus.
Esta acción se produce durante las siguientes diez horas (si el gusano no es quitado antes por el administrador del sitio).
==Efectos==
Uno de sus efectos colaterales más importantes, es la fuerte degradación del funcionamiento del servidor atacado, debido a la cantidad de threads que se ejecutan al mismo tiempo, y al ancho de banda usado en la búsqueda de nuevas máquinas para infectar. Además, en algunas ocasiones, el gusano ejecuta estos threads hasta el agotamiento de todos los recursos del sistema, provocando la caída del mismo. Aunque a las 10 horas, el gusano termina por si mismo su ejecución, la infección puede volver a ocurrir en la misma máquina.
Si la fecha actual, es cualquier día del mes, entre el 20 y el 28, el gusano intenta un ataque de negación de servicio a la dirección www.whitehouse.gov, enviando gran cantidad de datos basura al puerto 80.
Finalmente, si la fecha es mayor al día 28, los diferentes threads creados en la primera etapa de la infección, quedan en un bucle infinito, causando la inestabilidad y posiblemente la caída de [[Windows]].
==Actualidad==
Actualmente, el gusano está ocasionando varios problemas debido a la gran cantidad de escaneos (100 a la vez por computadora), realizados en cada uno de los servidores atacados (casi 30.000 según los últimos reportes), lo que genera una gran cantidad de tráfico.
Son vulnerables todos los sistemas corriendo el servicio Microsoft Index 2.0, o Windows 2000 Indexing Service, que no han sido actualizados con los parches respectivos.
La solución más evidente para quitar el gusano, como vimos, es resetear la computadora.
La solución definitiva para que no vuelva a infectarse, es instalar los parches disponibles desde hace más de un mes en el sitio de Microsoft.
==Parches disponibles==
Windows NT 4.0:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833

Windows 2000 Professional, Server y Advanced Server: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800
==Fuentes==
*http://pijamasurf.com/2013/03/top-10-virus-informaticos-mas-destructivos-de-los-ultimos-anos/
*https://technet.microsoft.com/library/security/ms01-033
*http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=76
[[Category:Informática]]
[[Category:Virus_informáticos]]

@@ Línea 42: / Línea 42: @@
 *http://pijamasurf.com/2013/03/top-10-virus-informaticos-mas-destructivos-de-los-ultimos-anos/
 *https://technet.microsoft.com/library/security/ms01-033
-*http://virusattack.xnetwork.com.ar/noticias/VerNoticia.php3?idnotas=76
 [[Category:Informática]]
 [[Category:Virus_informáticos]]

Virus CodeRed.worm - Historial de revisiones

Jacqueline GT: /* Fuentes */

Morales11012: Página creada con «{{Definición |nombre= CodeRed.worm |imagen= |tamaño= |concepto= Este gusano, se propaga, explota una conocida vulnerabilidad en el archivo IDQ.DLL, de los servidores Micr...»