CODERED یک نوع کرم اینترنتی حال به شرح حال مختصری از خصوصیات یک کرم معروف که هنوز هم وجود خواب آلوده خود را بر روی هزاران وب سرور افکنده و کارشناسان امنیتی را به تکاپو واداشته است، میپردازیم. راجع به واژه خواب آلود متن زیر را مطالعه کنید.
CODERED یک نوع کرم اینترنتی
مرکز تطبیق و هماهنگی Cert در پتیسبورگ که مرکزی برای بررسی اطلاعات سری کامپیوتری است، اذعان میدارد که ویروس CODERED احتمالاً به درون بیش از 280000 دستگاه متصل به اینترنت که از سیستم عاملهای NT4.0 و ویندوز 2000 استفاده میکنند نفوذ کرده است. حال آنکه این سیستم عاملها ، دارای مزیت محافظتی به وسیلة نرم افزارهای خطایاب IIS5 و IIS4 می باشند . هنگامی که هر دو گونه این ویروس (نسخههای 29.A و codered II ) تلاش میکنند تا روی سرورهایی که به وسیله سرویسهای شاخص نرم افزارهاییکه IIS از لحاظ ضعفهای عبوری یا مقاومت در برابر ویروسهای جدید اصلاح نشدهاند ، نفوذ و منتشر شوند، یکی از دو نسخه قدیمی این ویروس طوری تنظیم شده است که صفحات اولیه اتصال اینترنتی معروف به Homepage و یا start page مربوط به وب سرور آلوده شده را از حالت طبیعی خارج سازد. این ویروس طوری تنظیم شده است که تا بیستمین روز ماه منتشر میشود ،آنگاه با حالتی که cert آن را مرحله ویرانگر نامیده است، چنان عمل میکند که خود سرویس محافظ شخصی را بر علیه آدرس اینترنتی داده شده وادار به خرابکاری میکند. جالب است بدانید اولین آدرس اینترنتی داده شده به ویروس وب سرور کاخ سفید بوده است. به نظر می رسد که این ویروس در آخرین ساعت بیست و هفتیمن روز ماه، بمباران و انتشارهای خود را متوقف کرده ، وارد مرحله خواب موقتی شده و خود را غیر فعال میکند. حال آیا ویروس قدرت این را دارد که در اولین روز ماه بعد ، خود را برای فعالیتی دوباره بیدار کند. یک مرکز تحقیقات تخصصی که در اوهایو ایالات کلمبیا شرکتی مشاورهای و فنی است، به بررسی و تست ویروس Codered پرداخته و به این نتیجه رسیده است که این مزاحم خواب آلود میتواند دوباره خود را فعال کرده و فرآیند جستجوی میزبانان جدید را از سر بگیرد. بررسیها و نتایج به دست آمده نشان می دهند که codered برای شروع فعالیت مجدد، فایل مخصوصی را جستجو کرده و تا زمان پیدا کردن آن فایل و ساختن درایو مجازی خاصی به نام تروآ (Trojan) در حالت خواب باقی میماند. کارشناسان فنی بر این عقیدهاند که این ویروس مجبور نیست خود را بیدار و فعال کند تا برای سیستمها تحدیدی جدی به حساب آید. در حال حاضر سیستمهای آلوده ی بسیاری وجود دارند که ناخودآگاه برای انتشار و سرایت ویروس به سیستمهای دیگر تلاش میکنند. یکی از کارشناسان SARC یکی از مراکز تحقیقاتی میگوید : از آنجا که کامپیوترهای زیادی هستند که ساعتها درست تنظیم نشده ، شاهد انتشار مجدد این ویروس خواهیم بود. تنها یکی از سیستمهای آلوده، برای انتشار موج جدیدی از اختلالات کافی خواهد بود. محاسبات مرکز تطبیق و هماهنگی CERT نشان میدهد که ویروس Codered 250000 ، سرور ویندوزهایی که در خلال 9 ساعت اول فعالیت زود هنگام خود، سرور ویندوزهایی که آسیب پذیر بوده اند را آلوده ساخته است. بولتن خبری CERT تخمین میزند که با شروع فعالیت ویروس از یک میزبان آلوده، زمان لازم برای آلوده شدن تمام سیستمهایی که علیرغم استفاده از نرم افزارهای IIS (البته نسخههای قدیمی آن) همچنان آسیب پذیر ماندهاند، کمتر از 18 ساعت است! این رخدادها، این سوال را تداعی می کنند که چه تعداد از کامپیوترهای آلوده شده قبلی، تاکنون اصلاح و پاکسازی شدهاند؟ اگرچه سرور کاخ سفید، هدف اصلی حملات خرابکارانه Codered بوده است، با این حال این کرم کینه جو هنوز مشکلات بسیاری را برای میزبانان به وجود میآورد. |