Blue Code борется с Code Red
Специалисты из "Лаборатории Касперского", российского разработчика систем информационной безопасности, сообщили на днях об обнаружении Blue Code - очередной вредоносной программы, атакующей веб-серверы под управлением пакета Microsoft Internet Information Server (IIS). На данный момент компания получила несколько сообщений о фактах распространения данной вредоносной программы в Китае.Подобно Code Red, Blue Code поражает IIS-серверы, однако для проникновения на них он использует другую брешь в системе безопасности этой платформы - Web Directory Traversal, которая была обнаружена в октябре 2000 г. Внедрение на целевой сервер происходит таким образом, что сначала червь получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. Файл-носитель червя создает в корневой директории диска C: несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Таким образом, Blue Code пытается скрыть свое присутствие в системе.
Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что червь будет активизироваться после каждой загрузки компьютера. В свою очередь, файл D.VBS предпринимает ряд действий, направленных на удаление из памяти активных копий червя Code Red и создание защиты от него. В частности, он находит и дезактивирует приложение INETINFO.EXE, отвечающее за предоставление доступа к ресурсам WWW сервера. Кроме того, Blue Code изменяет обработку специализированных HTTP-запросов, c целью нейтрализации возможных попыток проникновения на сервер червя Code Red. Таким образом Blue Code освобождает ресурсы компьютера для своих нужд.
Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительности зараженного IIS-сервера. Blue Code также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service) на сервер www.nsfocus.com китайской компании, занимающейся вопросами информационной безопасности.
Западные эксперты пока затрудняются сказать, является ли Blue Code новым вирусом или всего лишь модификацией пресловутого "Красного кода". Ущерб, нанесенный вирусом Code Red в июле-августе этого года оценивается в $2,4 млрд., согласно данным компании Computer Economics. Процедуры защиты от Blue Code уже включены в ежедневное обновление "Антивируса Касперского".