Alerta Code Red: tudo sobre o worm que
já infectou milhares de web servers

Por Alexandre Freire

O Code Red Worm, denominado por especialistas como um malicioso e pequeno código capaz de se infiltrar por diferentes web servers que utilizam sistemas operacionais baseados em Windows NT ou Windows 2000 através do software Internet Information Server, já comprometeu mais de 50 mil servidores, segundo estatísticas computadas pela divisão de estudo e pesquisa de worms do Sans Institute, o Incidents.org. Os principais sites de segurança da Internet dedicam páginas a respeito do worm e o mesmo já é destaque em órgãos de divulgação em todo o mundo.

De fato, o comprometimento de mais de 50 mil servidores merece destaque na mídia, porém o worm ficou famoso por utilizar todos os servidores comprometidos para que, juntos, executassem um ataque em massa (DDoS - Distribuited Denial of Service) aos servidores que respondem pelo domínio da "casa" mais importante do planeta, a Casa Branca, sede do governo dos Estados Unidos.

Informações recentes divulgam que o ataque foi fracassado porque o código do worm foi escrito para direcionar ataques ao endereço IP e não ao nome www.whitehouse.gov . Assim sendo, houve tempo hábil para troca de endereço dos servidores que respondem pelas páginas da Casa Branca. Mas uma análise feita pela eEye, empresa que descobriu em 18 de junho a vulnerabilidade explorada para propagação do Worm, diz justamente o contrário. A eEye atesta que o Worm possui códigos que induzem o mesmo a criar um socket e conectar-se ao nome www.whitehouse.gov na porta 80, instruindo o envio de 100K bytes de dados. Caso a conexão seja estabelecida, o worm é instruído a entrar em looping executando ataques em massa ao site durante algumas milhares de horas.

Na sugestiva data de sexta-feira, 13 de julho, especialistas da eEye, Sans Institute e de outras conceituadas empresas e institutos de segurança, receberam logs de servidores web reportando número cada vez maior de ataques que tinham como alvo a recente vulnerabilidade .IDA, descoberta pela eEye. Após análise dos logs, foi disparado alerta geral para a Internet confirmando a existência de um worm que estava se espalhando rapidamente através dos servidores Internet Information Server.

Trata-se de um "buffer overflow", a vulnerabilidade .IDA, que afeta todas as versões do Microsoft Internet Information Services (IIS) Web server. A vulnerabilidade permite que a extensão .IDA, utilizada pelo filtro ISAPI Indexing Service, seja explorada por exploits que permitem ao invasor ter acesso através do usuário SYSTEM (nível de acesso do NT/Windows 2000). A partir desta invasão, utilizando-se a conta SYSTEM, o invasor passa a ter poderes para executar qualquer ação no sistema operacional como, por exemplo, instalar e rodar programas, manipular banco de dados de servidores web, adicionar, modificar ou apagar arquivos e páginas web, entre outras atividades perniciosas.

Roteiro de infecção

A análise do código feita pela eEye verificou que a praga possui parte de sua programação destinada à alteração das páginas dos servidores comprometidos. O princípio da integridade é ferido através da substituição da página principal pelo texto "Hacker by Chinese". Da sub-rotina de programação destinada a hackear os sites invadidos, nasceu o nome "Code Red Worm" em referência à bandeira do todo poderoso Império Chinês.

Após a infecção de um servidor web, inicia-se um processo maliciosamente premeditado. O processamento do servidor NT/Windows 2000 imediatamente é elevado através de 100 threads que são abertas pelo worm. As 99 primeiras threads são utilizadas para propagar o worm a outros servidores web. É criada uma seqüência de endereços IP randômicos. A centésima thread é responsável por hackear o site comprometido. A instrução do código tem prosseguimento com a verificação do sistema operacional em busca de servidores que estão rodando versões em Inglês (English - US) de sistemas Windows NT/2000. Caso o worm verifique a existência do sistema operacional "English (US) ready", o mesmo irá proceder para alterar a página do site, modificando o conteúdo original por uma mensagem dizendo "Welcome to http://www.worm.com !, Hacked By Chinese!". A página alterada é programada para permanecer no ar por 10 horas, desaparecendo posteriormente. Caso o sistema não seja "English (US) ready", a centésima thread do worm será utilizada também em conjunto com as demais threads para infectar outros sistemas.

Após proceder ou não a alteração da página principal do web site, cada thread gerada pelo worm verifica a existência do diretório c:\notworm. Caso o diretório seja encontrado, o worm entra no estado de "hibernação". A inexistência do diretório faz com que a praga continue a infectar outros sistemas.

Depois dos primeiros estágios da infecção, a praga executa rotina de verificação do horário dos servidores infectados. Caso o horário local seja entre 20h e 23h59min, todos os esforços estarão concentrados no envio de 100k bytes de dados para a porta 80 do servidor que responde pelo domínio www.whitehouse.gov na tentativa de que, em conjunto com outros servidores infectados, inicie-se um ataque DDoS ao site da Casa Branca. Caso o horário seja anterior a 20h, o worm concentrará seus esforços na busca de novos servidores que poderão ser potencializados para o principal objetivo do Code Red Worm: executar o maior ataque DDoS de todos os tempos visando a indisponibilidade de acesso ao web site mais importante do mundo.

Retornar Página Publicações