CodeRed.F

A partir de 11 de março de 2003, o Symantec Security Response confirmou que uma nova variante do CodeRed II (em inglês) foi encontrada em atuação.

Essa variante difere em apenas dois bytes do CodeRed II original. O CodeRed II reinicializaria o sistema se o ano fosse posterior a 2001. Isso não ocorre mais com a nova variante.

As definições AntiVirus da Symantec detectarão essa variante como worm CodeRed se ele estiver gravado em um arquivo. O worm também libera um Cavalo de Tróia, que será detectado como Trojan.VirtualRoot (em inglês). A Ferramenta de Remoção do CodeRed existente irá detectar e limpar corretamente essa nova variante.

Clique aqui (em inglês) para obter informações sobre como utilizar melhor as tecnologias da Symantec para combater a ameaça do CodeRed.

O worm pesquisa os endereços IP em busca de servidores Web Microsoft IIS 4.0 e 5.0 vulneráveis e usa uma vulnerabilidade de estouro do buffer para infectar máquinas remotas. O worm se injeta diretamente na memória, em vez de se autocopiar como um arquivo no sistema. Além disso, o CodeRed.F cria um arquivo detectado como Trojan.VirtualRoot (em inglês). O Trojan.VirtualRoot proporciona ao hacker total acesso remoto ao servidor Web.

Se você está utilizando o Microsoft IIS Server, é extremamente recomendável que você aplique a correção mais recente da Microsoft para se proteger contra esse worm. A correção pode ser encontrada no endereço http://www.microsoft.com/technet/security/bulletin/MS01-033.asp(em inglês).

Uma correção cumulativa para o IIS que inclui as quatro correções lançadas até o momento está disponível em http://www.microsoft.com/technet/security/bulletin/MS01-044.asp(em inglês).

Além disso, o Trojan.VirtualRoot também se aproveita de uma vulnerabilidade do Windows 2000. Faça o download e instale a seguinte correção de segurança da Microsoft para resolver esse problema e impedir que o Cavalo de Tróia reinfecte o computador: http://www.microsoft.com/technet/security/bulletin/MS00-052.asp(em inglês).



Quando um computador é atacado pelo CodeRed.F, é muito difícil determinar a quais outros perigos ele foi exposto. O mais provável é que um sistema infectado não apresente mais problemas. Entretanto, alguns desses computadores agora ficaram vulneráveis a ataques, abrindo a possibilidade de que outras atividades mal-intencionadas tenham sido executadas. A menos que – lendo os arquivos de log – você possa ter a absoluta certeza de que nenhuma outra atividade mal-intencionada tenha sido executada no computador, será melhor reinstalar completamente o sistema. Dessa forma, será possível ter 100% de certeza de que o computador está limpo.

• Instala um Cavalo de Tróia de backdoor no servidor Web, possibilitando execução/acesso remotos
• Cria um backdoor no servidor Web