Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2008 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

CodeRed.F

Categoria 2
Scoperto in data: 11/03/2003
Ultimo aggiornamento in data: 26/10/2004


L'11 marzo 2003, il Symantec Security Response ha confermato il ritrovamento "in the wild" di una nuova variante minore di CodeRed II.

La differenza di dimensioni tra la nuova variante e il worm originale CodeRed II è di soli 2 byte. CodeRed II era in grado di riavviare il sistema se l'infezione avveniva dopo il 2001, tale variante tuttavia non ha questa caratteristica.

Le definizioni antivirus Symantec identificano la variante come CodeRed Worm, se viene salvato su un file. Il worm inoltre rilascia un cavallo di Troia, che viene rilevato come Trojan.VirtualRoot. Lo strumento di rimozione per CodeRed già disponibile è in grado di rilevare e di eliminare questa variante.

Fare clic qui per informazioni su come sfruttare appieno le tecnologie Symantec nella lotta contro la minaccia CodeRed.

Il worm esegue una scansione degli indirizzi IP alla ricerca di server Web Microsoft IIS 4.0 e 5.0 vulnerabili, e sfrutta la vulnerabilità "overflow del buffer" per infettare computer remoti. Si inserisce direttamente nella memoria, invece di replicarsi sul sistema sotto forma di file. CodeRed.F crea inoltre un file rilevato come Trojan.VirtualRoot, che fornisce all'hacker un accesso remoto completo al server Web.

Se si utilizza il server Microsoft IIS, è altamente consigliabile installare gli ultimi aggiornamenti Microsoft per proteggersi da tale worm. L'aggiornamento è disponibile all'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti rilasciati.

Trojan.VirtualRoot è infine in grado di sfruttare una vulnerabilità di Windows 2000. Per risolvere tale problema ed arrestare una possibile reinfezione da parte del cavallo di Troia, scaricare ed installare l'aggiornamento di Microsoft, all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS00-052.asp

  

Noto anche come: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32/CodeRed.f.worm [McAfee], Win32.CodeRed.F [CA]
Tipo: cavallo di Troia, worm
Sistemi operativi minacciati: Microsoft IIS
Riferimenti CVE: CVE-2001-0500, CVE-2001-0506

protezione
  • Definizioni dei virus (LiveUpdate™ Weekly)

    • 05/08/2001
  • Definizioni dei virus (Intelligent Updater)

    • 05/08/2001

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Media Alta

    Wild:
    Bassa

    Danno:
    Media

    Distribuzione:
    Alta

    Danno

    Distribuzione

    informazioni tecniche

    Il worm si riproduce installandosi su un server Web scelto a caso, sfruttando un problema noto di overflow del buffer contenuto nel file Idq.dll. Il worm è in grado di colpire solo i sistemi che non sono stati aggiornati con i più recenti service pack di Microsoft IIS.

    Ulteriori informazioni a riguardo, nonché un modulo di aggiornamento scaricabile per risolvere questa vulnerabilità, sono forniti da Microsoft all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp. All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti disponibili. Si incoraggiano gli amministratori di sistema a installare gli aggiornamenti di Microsoft per prevenire infezioni causate da questo virus ed altre violazioni di accesso.

    Quando viene infettato un server Web, per prima cosa il worm ne chiama la routine di inizializzazione, che individua l'indirizzo di base di Kernel32.dll nello spazio di indirizzi del processo relativo al servizio del server IIS. Successivamente ricerca l'indirizzo di GetProcAddress. A questo punto inizia a chiamare GetProcAddress per ottenere l'accesso ad una serie di indirizzi dell'API:

    LoadLibraryA
    CreateThread
    ..
    ..
    GetSystemTime

    e carica WS2_32.dll per accedere a funzioni quali socket, closesocket e WSAGetLastError. Da User32.dll, riesce ad ottenere ExitWindowsEx che viene utilizzato dal worm per riavviare il sistema.

    Il thread principale ricerca due diversi marcatori. Il primo marcatore, "29A", controlla l'installazione di Trojan.VirtualRoot, mentre il secondo è un semaforo chiamato "CodeRedII". Se il semaforo esiste, il worm viene disattivato definitivamente. In seguito, il thread principale controlla la lingua predefinita. Se la lingua predefinita è il cinese (di Taiwan o della Repubblica Popolare Cinese), produce 600 nuovi thread; altrimenti ne crea 300. Tali thread generano degli indirizzi IP a caso che vengono utilizzati per ricercare nuovi server Web da infettare. Mentre questi thread sono in azione, il thread principale copia Cmd.exe dalla cartella Windows NT \System sulle cartelle seguenti (se esistono):

    C:\Inetpub\Scripts\Root.exe
    D:\Inetpub\Scripts\Root.exe
    C:\Progra~1\Common~1\System\MSADC\Root.exe
    D:\Progra~1\Common~1\System\MSADC\Root.exe

    Se il cavallo di Troia liberato dal worm ha modificato la chiave di registro

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\
    Services\W3SVC\Parameters\Virtual Roots

    (aggiungendo un certo numero di nuove chiavi ed impostando a 217 il numero del gruppo utenti), l'hacker è in grado di prendere il pieno controllo del server Web inviando la richiesta HTTP GET di eseguire il file scripts/root.exe su tale server infetto.

    Il thread principale rimane inattivo per 48 ore nei sistemi in lingua cinese e per 24 ore in tutti gli altri. Nel frattempo però i 300 o 600 thread da esso generati continuano ad agire tentando di infettare altri sistemi. Quando il thread principale si riattiva, provoca il riavvio del computer. Tutti i thread verificano inoltre se la data impostata è ottobre o successiva e se l'anno è successivo a 34951. In caso positivo riavviano il computer.

    Il worm copia la shell di comando (Cmd.exe) nella directory predefinita che gode dell'autorizzazione di esecuzione del server Web IIS, per consentire l'accesso remoto. Nel fare questo rilascia anche un file (con attributi: nascosto, sistema e sola lettura) sull'unità principale, con almeno uno dei seguenti nomi: C:\Explorer.exe o D:\Explorer.exe. Questi file del cavallo di Troia vengono identificati da Norton AntiVirus come Trojan.VirtualRoot. Il worm contiene tale file al proprio interno in formato compresso e lo decomprime al momento del suo rilascio.

    La fase dell'infezione dura 24 o 48 ore, quindi il computer viene riavviato. Si osservi tuttavia, che lo stesso computer può essere nuovamente infettato se non vengono scaricati gli ultimi aggiornamenti forniti da Microsoft. Se la data è ottobre o successiva e l'anno è successivo a 34951, il computer verrà anche riavviato. Al riavvio del computer, viene eseguito il file Trojan.VirtualRoot nel momento in cui il sistema tenta di eseguire Explorer.exe (ciò dipende dal modo in cui Windows NT determina o cerca i percorsi dei programmi all'esecuzione di un programma). Il cavallo di Troia (C:\Explorer.exe) rimane quindi inattivo per alcuni minuti e poi ripristina tali chiavi per assicurarsi che le chiavi di registro vengano modificate.

    Si osservi che dopo il riavvio, il worm residente in memoria rimarrà inattivo. In altre parole, se viene riavviato un sistema infetto, il worm non tenterà più di diffondersi ad altre macchine, tranne nel caso in cui il sistema venga colpito nuovamente da una infezione.

    Il cavallo di Troia modifica inoltre la chiave di registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows NT\CurrentVersion\Winlogon

    in modo che il valore di

    SFCDisable

    sia impostato su

    0xFFFFFF9D

    Così facendo viene disattivato il Controllo file di sistema (SFC).

    NOTE:

    • Se è in esecuzione Microsoft FrontPage o un simile programma per la progettazione di pagine Web, è possibile che il server IIS sia installato sul proprio computer.
    • Per ulteriori informazioni, e per ottenere la stringa aggiunta ai file di registro di IIS, accedere al sito del CERT Coordination Center all'indirizzo: http://www.cert.org/incident_notes/IN-2001-08.html

    Symantec ManHunt
    Symantec Manhunt 2.2, mediante Anomaly Engine, rileva Codered.F come "HTTP Malformed URL"; se è stato applicato il più recente signature update, viene invece rilevato come "HTTP_IIS_ISAPI_Extension" in Hybrid Mode.

    recommendations

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione


    Il Security Response ha reso disponibile un'utilità che esegue l'analisi della vulnerabilità del computer ed è in grado di rimuovere i worm CodeRed e CodeRed II. Per ottenere lo Strumento di rimozione per CodeRed, fare clic qui. Se per qualche ragione non è possibile utilizzare o procurarsi lo Strumento di rimozione CodeRed, è necessario eliminare il worm manualmente.

    Rimozione manuale

    Per rimuovere manualmente il worm è necessario installare gli aggiornamenti Microsoft richiesti, eliminare i file, eseguire altre modifiche, e quindi intervenire sul registro di sistema. Seguire le istruzioni nell'ordine proposto.

    Come ottenere gli aggiornamenti:
    Questo passaggio è molto importante. Non saltare questo passaggio.

    Per trovare, scaricare e installare la patch accedere al sito Web:

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

    In alternativa, è possibile scaricare e installare l'aggiornamento completo di IIS, all'indirizzo:

    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

    Come eliminare i file del worm:
    1. Arrestare il processo in corso legato al rilascio del cavallo di Troia (NAV lo rileva come Trojan.VirtualRoot):
      1. Premere Ctrl+Alt+Canc e fare clic su Task Manager.
      2. Fare clic sulla scheda Processi.
      3. Per disporre le voci dell'elenco dei processi in ordine alfabetico, fare clic sull'intestazione della colonna Nome immagine. Dovrebbero comparire due processi denominati Explorer.exe: uno dei due è il programma legittimo, l'altro è il cavallo di Troia.
      4. Per accertarsi di terminare il processo giusto, fare clic su Visualizza e quindi clic su "Seleziona colonne...".
      5. Selezionare l'opzione "Conteggio dei thread" e fare clic su OK.
      6. In Task Manager compare una nuova colonna che elenca il numero di thread associati a ciascun processo (per visualizzarlo potrebbe essere necessario spostare la barra di scorrimento).
      7. Fare clic sul processo Explorer.exe che ha solo un thread.
      8. Dopo averlo selezionato, fare clic su Termina processo. Viene visualizzato un messaggio di avviso.
      9. Fare clic su Sì per terminare il processo.
      10. Fare clic su File, e poi su Esci da Task Manager.
    2. Il passaggio successivo prevede l'eliminazione dei file Explorer.exe creati sul sistema infetto. Entrambi questi file hanno gli attributi nascosto, sistema e sola lettura.
      1. Fare clic su Start e poi su Esegui.
      2. Digitare quanto segue e premere Invio.

        cmd
      3. Digitare i seguenti comandi premendo Invio al termine di ciascuno:

        cd c:\
        attrib -h -s -r explorer.exe
        del explorer.exe

        Questo passaggio consente di spostarsi alla directory principale, rimuovere gli attributi ed eliminare il cavallo di Troia dall'unità C.
      4. Digitare quanto segue e premere Invio.

        d:

        I prossimi comandi saranno applicati all'unità D, se esiste (se l'unità D non è presente, procedere al passaggio f).
      5. Digitare i seguenti comandi premendo Invio al termine di ciascuno:

        cd d:\
        attrib -h -s -r explorer.exe
        del explorer.exe
      6. Digitare quanto segue e premere Invio.

        exit
    3. Mediante Esplora risorse, eliminare i quattro file seguenti, se presenti (si tratta di semplici copie del file %Windir%\root.exe):
      • C:\Inetpub\Scripts\Root.exe
      • D:\Inetpub\Scripts\Root.exe
      • C:\Progra~1\Common~1\System\MSADC\Root.exe
      • D:\Progra~1\Common~1\System\MSADC\Root.exe
    4. È ora necessario aprire Gestione computer per eliminare le condivisioni aperte sul server Web. Fare clic con il pulsante destro del mouse sull’icona Risorse del computer situata sul desktop di Windows, quindi fare clic su Gestisci.



      Viene visualizzata la finestra Gestione computer.
    5. Nel riquadro sinistro, accedere a \Gestione computer (locale)\Servizi e applicazioni\Sito Web predefinito.
    6. Nel riquadro destro, fare clic con il tasto destro del mouse sull'icona dell'unità C e fare clic su Elimina. Ripetere questo passaggio per tutte le altre unità elencate nella cartella Sito Web predefinito.


    7. Procedere alla sezione successiva.

    Come modificare il Registro di sistema:

    ATTENZIONE: prima di modificare il Registro di sistema si raccomanda di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati o danni ai file irreversibili. Modificare unicamente le chiavi indicate in questo documento. Prima di procedere, consultare il documento Come eseguire il backup del Registro di sistema di Windows.
    1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
    2. Digitare regedit e fare clic su OK. Si apre l'Editor del Registro di sistema.
    3. Accedere alla chiave:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\
      Services\W3SVC\Parameters\Virtual Roots

      Nel riquadro di destra verranno visualizzati diversi valori. Due di questi valori possono essere eliminati, in quanto creati da CodeRed II. Ed è necessario aggiornarne altri.
    4. Selezionare il valore

      /C
    5. Premere Canc, quindi fare clic su Sì per confermare.
    6. Selezionare il valore

      /D
    7. Premere Canc, quindi fare clic su Sì per confermare.
    8. Fare doppio clic sul valore

      /MSADC
    9. Eliminare esclusivamente la cifra 217 dai dati del valore trovati e sostituirla con la cifra 201, quindi fare clic su OK.
    10. Fare doppio clic sul valore

      /Scripts
    11. Eliminare esclusivamente la cifra 217 dai dati del valore trovati e sostituirla con la cifra 201, quindi fare clic su OK.

      NOTA: l'utilità di rimozione per CodeRed elimina completamente le voci /MSADC e /Scripts del registro di sistema. Dopo avere utilizzato lo strumento, al riavvio di IIS è necessario creare nuovamente le voci sopramenzionate assegnando loro i valori appropriati.
    12. Effettuare una delle seguenti operazioni:
      • Se il sistema operativo non è Windows 2000, passare al punto 16.
      • Se il sistema operativo è Windows 2000, passare al punto 13.
    13. Accedere alla chiave:

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows NT\CurrentVersion\WinLogon
    14. Nel riquadro destro, fare doppio clic sul valore:

      SFCDisable
    15. Eliminare i dati valore trovati, poi digitare 0 (digitare il numero zero, e non la lettera "O"). Fare clic su OK.
    16. Chiudere l'Editor del Registro di sistema.
    17. Riavviare il computer per accertarsi che CodeRed II sia stato completamente eliminato.


    Informazioni aggiuntive:

    Quando un computer contrae CodeRed.F, è molto difficile stabilire a quali altri attacchi possa essere esposto. Nella maggior parte dei casi un sistema infetto non è ancora stato danneggiato in altro modo. Tuttavia, dato che alcuni dei computer infettati diventano vulnerabili agli attacchi, potrebbero avere consentito l'esecuzione di altre attività nocive. Se non è possibile essere completamente certi - dalla lettura del registro degli eventi - che non sia stata eseguita alcun'altra attività nociva sul computer, è consigliabile reinstallare completamente il sistema. In questo modo, il computer sarà pulito al cento per cento.

    Revisioni:


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.