Codice Red Worm

Code Red (CodeRed) è un worm che ha interessato i server Web MS ISS nei primi anni 2000. Al culmine della sua popolarità, ha interessato quasi mezzo milione di sistemi host.

Code Red utilizza una vulnerabilità semplice ma efficace dei server Web ISS precedenti. il worm provoca un overflow del buffer utilizzando una stringa di simboli particolarmente lunga, in questo caso il netter N, per overflow del buffer del software. Questo, a sua volta, consente al malware di eseguire il codice arbitrario di cui ha bisogno e di diffondersi ulteriormente, mentre deturpa l'host nel processo.

I server infettati dal worm Code Red sono stati sostituiti con il testo seguente:

CIAO! Benvenuto in http: // www dot worm dot com! Hacked by Chinese!

Il worm è stato inoltre impostato in modo da consentirgli di svolgere diverse attività a seconda del giorno del mese, ottenuto dall'orologio di sistema della vittima. Nei primi 19 giorni di ogni mese, Code Red avrebbe tentato di propagarsi ai nuovi sistemi, cercando altri server ISS online. Durante i giorni tra il 20 e il 27, il worm avrebbe lanciato attacchi DoS su un numero di server web predeterminati, incluso quello della Casa Bianca. Negli ultimi giorni di ogni mese, Code Red non farebbe nulla.

Poco dopo che Code Red è stato individuato e scoperto per la prima volta, è apparsa una seconda versione, con diverse stringhe di istruzioni nel suo payload e con una lunga stringa di simboli X anziché N per innescare l'overflow del buffer.