کرم اینترنتی
CODERED يك نوع كرم اينترنتي
حال به شرح حال مختصري از خصوصيات يك كرم معروف كه هنوز هم وجود خواب آلوده خود را بر روي هزاران وب سرور افكنده و كارشناسان امنيتي را به تکاپو واداشته است، ميپردازيم. راجع به واژه خواب آلود متن زير را مطالعه كنيد.
CODERED يك نوع كرم اينترنتي
مركز تطبيق و هماهنگي Cert در پتيسبورگ كه مركزي براي بررسي اطلاعات سري كامپيوتري است، اذعان ميدارد كه ويروس CODERED احتمالاً به درون بيش از 280000 دستگاه متصل به اينترنت كه از سيستم عاملهاي NT4.0 و ويندوز 2000 استفاده ميكنند نفوذ كرده است. حال آنكه اين سيستم عاملها ، داراي مزيت محافظتی به وسيلة نرم افزارهاي خطاياب IIS5 و IIS4 می باشند .
هنگامي كه هر دو گونه اين ويروس (نسخههاي 29.A و codered II ) تلاش ميكنند تا روي سرورهايي كه به وسيله سرويسهاي شاخص نرم افزارهاييكه IIS از لحاظ ضعفهاي عبوري يا مقاومت در برابر ويروسهاي جديد اصلاح نشدهاند ، نفوذ و منتشر شوند، يكي از دو نسخه قديمي اين ويروس طوري تنظيم شده است كه صفحات اوليه اتصال اينترنتي معروف به Homepage و يا start page مربوط به وب سرور آلوده شده را از حالت طبيعي خارج سازد.
اين ويروس طوري تنظيم شده است كه تا بيستمين روز ماه منتشر ميشود ،آنگاه با حالتي كه cert آن را مرحله ويرانگر ناميده است، چنان عمل ميكند كه خود سرويس محافظ شخصي را بر عليه آدرس اينترنتي داده شده وادار به خرابكاري ميكند. جالب است بدانيد اولين آدرس اينترنتي داده شده به ويروس وب سرور كاخ سفيد بوده است.
به نظر می رسد که این ویروس در آخرين ساعت بيست و هفتيمن روز ماه، بمباران و انتشارهاي خود را متوقف كرده ، وارد مرحله خواب موقتي شده و خود را غير فعال ميكند. حال آیا ويروس قدرت اين را دارد كه در اولين روز ماه بعد ، خود را براي فعاليتي دوباره بيدار كند.
يك مركز تحقيقات تخصصي كه در اوهايو ايالات كلمبيا شركتي مشاورهاي و فني است، به بررسي و تست ويروس Codered پرداخته و به اين نتيجه رسيده است كه اين مزاحم خواب آلود ميتواند دوباره خود را فعال کرده و فرآيند جستجوی ميزبانان جديد را از سر بگيرد.
بررسيها و نتايج به دست آمده نشان مي دهند كه codered براي شروع فعاليت مجدد، فايل مخصوصي را جستجو کرده و تا زمان پيدا كردن آن فايل و ساختن درايو مجازي خاصي به نام تروآ (Trojan) در حالت خواب باقي ميماند.
كارشناسان فني بر اين عقيدهاند كه اين ويروس مجبور نيست خود را بيدار و فعال كند تا برای سیستمها تحديدی جدي به حساب آید. در حال حاضر سيستمهاي آلوده ی بسیاری وجود دارند كه ناخودآگاه براي انتشار و سرايت ويروس به سيستمهاي ديگر تلاش ميكنند. يكي از كارشناسان SARC يكي از مراكز تحقيقاتي ميگويد : از آنجا كه كامپيوترهاي زيادي هستند که ساعتها درست تنظيم نشده ، شاهد انتشار مجدد اين ويروس خواهيم بود. تنها يكي از سيستمهاي آلوده، براي انتشار موج جديدي از اختلالات كافي خواهد بود.
محاسبات مركز تطبيق و هماهنگي CERT نشان ميدهد كه ويروس Codered 250000 ، سرور ويندوزهايي كه در خلال 9 ساعت اول فعاليت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبري CERT تخمين ميزند كه با شروع فعاليت ويروس از يك ميزبان آلوده، زمان لازم براي آلوده شدن تمام سيستمهايي كه عليرغم استفاده از نرم افزارهاي IIS (البته نسخههاي قديمي آن) همچنان آسيب پذير ماندهاند، كمتر از 18 ساعت است! اين رخدادها، اين سوال را تداعی می کنند كه چه تعداد از كامپيوترهاي آلوده شده قبلي، تاكنون اصلاح و پاكسازي شدهاند؟ اگرچه سرور كاخ سفيد، هدف اصلي حملات خرابكارانه Codered بوده است، با اين حال اين كرم كينه جو هنوز مشكلات بسیاری را براي ميزبانان به وجود ميآورد.