CodeRed II

L'11 marzo 2003, il Symantec Security Response ha confermato il ritrovamento "in the wild" di una nuova variante minore di CodeRed II. La differenza di dimensioni tra la nuova variante, CodeRed.F, e il worm originale CodeRed II è di soli 2 byte. Le definizioni antivirus Symantec identificano la variante come CodeRed Worm. Lo Strumento di rimozione per CodeRed, già disponibile, è in grado di rilevare e di eliminare questa variante.

CodeRed II è stato scoperto il 4 agosto 2001, ed è stato definito una variante del worm originario CodeRed, perché sfrutta un problema noto di overflow del buffer per propagarsi ad altri server Web. Sono stati segnalati al Symantec AntiVirus Research Center (SARC) numerosi casi di server Web IIS infettati. Tale virus rappresenta una seria minaccia.

Per informazioni sul rilevamento e sull'eliminazione del worm originario CodeRed, e per una panoramica sui diversi metodi impiegati da altri prodotti Symantec nella difesa da questo worm, consultare la sezione Informazioni aggiuntive del documento CodeRed.

Fare clic qui per informazioni su come sfruttare appieno le tecnologie Symantec nella lotta contro la minaccia CodeRed.

Il worm CodeRed originario ha una carica dannosa talmente potente che è riuscito a sferrare un attacco "Denial of Service" al server Web della Casa Bianca. La variante CodeRed II ha una carica nociva diversa che consente agli hacker pieno accesso remoto al server Web.

SARC ha creato un'utilità che analizza approfonditamente la vulnerabilità del computer e consente di rimuovere i worm CodeRed e CodeRed II. Per ottenere l'utilità di rimozione CodeRed, fare clic qui.

Se si utilizza il server Microsoft IIS, è altamente consigliabile installare gli ultimi aggiornamenti Microsoft per proteggersi da tale worm. L'aggiornamento è disponibile all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti disponibili.

Norton AntiVirus è in grado di rilevare un'infezione nel server Web analizzando la payload (componente cavallo di Troia) di tale worm come Trojan.VirtualRoot. Questo cavallo di Troia sfrutta una vulnerabilità di Windows 2000. Per risolvere tale problema ed arrestare una possibile reinfezione da parte del cavallo di Troia, scaricare ed installare l'aggiornamento di sicurezza di Microsoft, all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS00-052.asp.



Quando un computer contrae CodeRed II, è molto difficile stabilire a quali altri attacchi sia stato esposto. Nella maggior parte dei casi un sistema infetto non è ancora stato attaccato in altro modo. Tuttavia, dato che alcuni di questi computer sono diventati vulnerabili agli attacchi, potrebbero avere consentito l'esecuzione di altre attività nocive. Se non è possibile essere completamente certi (dalla lettura del Registro degli eventi) che non sia stata eseguita alcun'altra attività nociva sul computer, è consigliabile reinstallare completamente il sistema. In questo modo, il computer sarà pulito al cento per cento.

Protezione

• Versione iniziale delle definizioni Rapid 5 de Agosto de 2001
• Ultima versione delle definizioni Rapid Release in attesa
• Versione iniziale delle definizioni Daily certified in attesa
• Ultima versione delle definizioni Daily certified in attesa
• Data di iniziale delle definizioni Weekly Certified 5 de Agosto de 2001

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

• Livello di circolazione: Basso
• Numero di infezioni: More than 1000
• Numero di siti: More than 10
• Distribuzione geografica: Medio
• Contenimento della minaccia: Difficile
• Rimozione: Moderato

Danno

• Livello del danno: Medio
• Payload: Installa sul server Web un cavallo di Troia backdoor che consente l'esecuzione e l'accesso remoti
• Compromette le impostazioni di sicurezza: Crea una backdoor sul server web

Distribuzione

• Livello di distribuzione: Alto
• Porte: 80
• Obiettivo dell'infezione: Server web Microsoft IIS