CodeRed.F

L'11 marzo 2003, il Symantec Security Response ha confermato il ritrovamento "in the wild" di una nuova variante minore di CodeRed II.

La differenza di dimensioni tra la nuova variante e il worm originale CodeRed II è di soli 2 byte. CodeRed II era in grado di riavviare il sistema se l'infezione avveniva dopo il 2001, tale variante tuttavia non ha questa caratteristica.

Le definizioni antivirus Symantec identificano la variante come CodeRed Worm, se viene salvato su un file. Il worm inoltre rilascia un cavallo di Troia, che viene rilevato come Trojan.VirtualRoot. Lo strumento di rimozione per CodeRed già disponibile è in grado di rilevare e di eliminare questa variante.

Fare clic qui per informazioni su come sfruttare appieno le tecnologie Symantec nella lotta contro la minaccia CodeRed.

Il worm esegue una scansione degli indirizzi IP alla ricerca di server Web Microsoft IIS 4.0 e 5.0 vulnerabili, e sfrutta la vulnerabilità "overflow del buffer" per infettare computer remoti. Si inserisce direttamente nella memoria, invece di replicarsi sul sistema sotto forma di file. CodeRed.F crea inoltre un file rilevato come Trojan.VirtualRoot, che fornisce all'hacker un accesso remoto completo al server Web.

Se si utilizza il server Microsoft IIS, è altamente consigliabile installare gli ultimi aggiornamenti Microsoft per proteggersi da tale worm. L'aggiornamento è disponibile all'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti rilasciati.

Trojan.VirtualRoot è infine in grado di sfruttare una vulnerabilità di Windows 2000. Per risolvere tale problema ed arrestare una possibile reinfezione da parte del cavallo di Troia, scaricare ed installare l'aggiornamento di Microsoft, all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS00-052.asp



Quando un computer contrae CodeRed.F, è molto difficile stabilire a quali altri attacchi possa essere esposto. Nella maggior parte dei casi un sistema infetto non è ancora stato danneggiato in altro modo. Tuttavia, dato che alcuni dei computer infettati diventano vulnerabili agli attacchi, potrebbero avere consentito l'esecuzione di altre attività nocive. Se non è possibile essere completamente certi - dalla lettura del registro degli eventi - che non sia stata eseguita alcun'altra attività nociva sul computer, è consigliabile reinstallare completamente il sistema. In questo modo, il computer sarà pulito al cento per cento.

Protezione

• Versione iniziale delle definizioni Rapid 5 de Agosto de 2001
• Ultima versione delle definizioni Rapid Release in attesa
• Versione iniziale delle definizioni Daily certified in attesa
• Ultima versione delle definizioni Daily certified in attesa
• Data di iniziale delle definizioni Weekly Certified 5 de Agosto de 2001

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

• Livello di circolazione: Basso
• Numero di infezioni: 0 - 49
• Numero di siti: 0 - 2
• Distribuzione geografica: Medio
• Contenimento della minaccia: Moderato
• Rimozione: Moderato

Danno

• Livello del danno: Medio
• Payload: Installa sul server Web un cavallo di Troia backdoor che consente l'esecuzione e l'accesso remoti
• Compromette le impostazioni di sicurezza: Crea una backdoor nel server Web

Distribuzione

• Livello di distribuzione: Alto
• Porte: 80
• Obiettivo dell'infezione: Microsoft IIS Web Server