Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

CodeRed II

Categoria 2
Scoperto in data: 04/08/2001
Ultimo aggiornamento in data: 26/10/2004


L'11 marzo 2003, il Symantec Security Response ha confermato il ritrovamento "in the wild" di una nuova variante minore di CodeRed II. La differenza di dimensioni tra la nuova variante, CodeRed.F, e il worm originale CodeRed II è di soli 2 byte. Le definizioni antivirus Symantec identificano la variante come CodeRed Worm. Lo Strumento di rimozione per CodeRed, già disponibile, è in grado di rilevare e di eliminare questa variante.

CodeRed II è stato scoperto il 4 agosto 2001, ed è stato definito una variante del worm originario CodeRed, perché sfrutta un problema noto di overflow del buffer per propagarsi ad altri server Web. Sono stati segnalati al Symantec AntiVirus Research Center (SARC) numerosi casi di server Web IIS infettati. Tale virus rappresenta una seria minaccia.

Per informazioni sul rilevamento e sull'eliminazione del worm originario CodeRed, e per una panoramica sui diversi metodi impiegati da altri prodotti Symantec nella difesa da questo worm, consultare la sezione Informazioni aggiuntive del documento CodeRed.

Fare clic qui per informazioni su come sfruttare appieno le tecnologie Symantec nella lotta contro la minaccia CodeRed.

Il worm CodeRed originario ha una carica dannosa talmente potente che è riuscito a sferrare un attacco "Denial of Service" al server Web della Casa Bianca. La variante CodeRed II ha una carica nociva diversa che consente agli hacker pieno accesso remoto al server Web.

SARC ha creato un'utilità che analizza approfonditamente la vulnerabilità del computer e consente di rimuovere i worm CodeRed e CodeRed II. Per ottenere l'utilità di rimozione CodeRed, fare clic qui.

Se si utilizza il server Microsoft IIS, è altamente consigliabile installare gli ultimi aggiornamenti Microsoft per proteggersi da tale worm. L'aggiornamento è disponibile all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp.

All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti disponibili.

Norton AntiVirus è in grado di rilevare un'infezione nel server Web analizzando la payload (componente cavallo di Troia) di tale worm come Trojan.VirtualRoot. Questo cavallo di Troia sfrutta una vulnerabilità di Windows 2000. Per risolvere tale problema ed arrestare una possibile reinfezione da parte del cavallo di Troia, scaricare ed installare l'aggiornamento di sicurezza di Microsoft, all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS00-052.asp.

  

Noto anche come: CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, CodeRed.F
Tipo: cavallo di Troia, worm
Riferimenti CVE: CVE-2001-0500, CVE-2001-0506

protezione
  • Definizioni dei virus (LiveUpdate™ Weekly)

    • 05/08/2001
  • Definizioni dei virus (Intelligent Updater)

    • 05/08/2001

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Media Alta

    Wild:
    Bassa

    Danno:
    Media

    Distribuzione:
    Alta

    Danno

    Distribuzione

    informazioni tecniche

    Il worm si riproduce installandosi in un server Web scelto a caso, grazie a un problema noto di overflow del buffer contenuto nel file Idq.dll; può tuttavia colpire solo i sistemi che non sono stati aggiornati con gli ultimi service pack Microsoft IIS.

    Ulteriori informazioni a riguardo, nonché un modulo di aggiornamento scaricabile per risolvere questa vulnerabilità, sono resi disponibili da Microsoft all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-033.asp. All'indirizzo http://www.microsoft.com/technet/security/bulletin/MS01-044.asp, è invece possibile scaricare un aggiornamento completo per server IIS, che comprende i quattro aggiornamenti disponibili. Si incoraggiano gli amministratori di sistema a installare gli aggiornamenti di Microsoft per prevenire infezioni causate da questo virus ed altri tipi di violazioni d'accesso.

    Quando un server web viene infettato, per prima cosa il worm attiva la propria procedura di inizializzazione, che identifica l'indirizzo di base di Kernel32.dll nello spazio di indirizzo di processo di servizio del server IIS. Successivamente ricerca l'indirizzo di GetProcAddress. A questo punto inizia a chiamare GetProcAddress per ottenere l'accesso ad una serie di indirizzi API:

    LoadLibraryA
    CreateThread
    ..
    ..
    GetSystemTime

    e carica WS2_32.dll per accedere a funzioni quali socket, closesocket e WSAGetLastError. Da User32.dll, riesce ad ottenere ExitWindowsEx che viene utilizzata dal worm per riavviare il sistema.

    Il thread principale ricerca due diversi marcatori. Il primo marcatore, "29A", controlla l'installazione di Trojan.VirtualRoot, mentre il secondo è un semaforo chiamato "CodeRedII". Se il semaforo esiste, il worm viene disattivato definitivamente. In seguito, il thread principale controlla la lingua predefinita. Se la lingua predefinita è il cinese (di Taiwan e della Repubblica Popolare Cinese) produce 600 nuovi thread; altrimenti ne crea 300. Tali thread generano degli indirizzi IP a caso che vengono utilizzati per ricercare nuovi server web da infettare. Mentre questi thread sono in azione, il thread principale copia Cmd.exe dalla cartella Windows NT \System sulle cartelle seguenti (se esistono):

    C:\Inetpub\Scripts\Root.exe
    D:\Inetpub\Scripts\Root.exe
    C:\Progra~1\Common~1\System\MSADC\Root.exe
    D:\Progra~1\Common~1\System\MSADC\Root.exe

    Se il cavallo di Troia che è stato liberato dal worm ha modificato la chiave di registro

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\
    Services\W3SVC\Parameters\Virtual Roots

    (aggiungendo un certo numero di nuove chiavi ed impostando a 217 il numero del gruppo utenti), l'hacker è in grado di prendere il pieno controllo del server web inviando la richiesta HTTP GET di eseguire il file scripts/root.exe su tale server infetto.

    Il thread principale rimane inattivo per 48 ore nei sistemi in lingua cinese e per 24 ore in tutti gli altri. Nel frattempo però i 300 o 600 thread da esso generati continuano ad agire tentando di infettare altri sistemi. Quando il thread principale si riattiva, provoca il riavvio del computer. Tutti i thread verificano inoltre se la data impostata è ottobre 2002. In caso positivo, riavviano il computer.

    Il worm copia la shell di comando (Cmd.exe) nella directory predefinita che gode dell'autorizzazione di esecuzione del server web IIS, per consentire l'accesso remoto. Nel fare questo rilascia anche un file (con attributi: nascosto, sistema, e sola lettura) sull'unità principale con almeno uno dei due nomi seguenti: C:\Explorer.exe o D:\Explorer.exe. Questi file di cavallo di Troia vengono identificati da Norton AntiVirus come Trojan.VirtualRoot. Il worm contiene tale file al proprio interno in formato compresso e lo decomprime al momento del suo rilascio.

    La fase dell'infezione dura 24 o 48 ore, quindi il computer viene riavviato. Si osservi tuttavia che lo stesso computer può essere nuovamente infettato se non vengono scaricati gli ultimi aggiornamenti forniti da Microsoft. Se la data è ottobre 2002, il computer verrà anche riavviato. Al riavvio del computer, viene eseguito il file Trojan.VirtualRoot nel momento in cui il sistema tenta di eseguire Explorer.exe (ciò dipende dal modo in cui Windows NT determina o cerca i percorsi all'esecuzione di un programma). Il cavallo di Troia (C:\Explorer.exe) rimane quindi inattivo per alcuni minuti e poi elimina tali chiavi per assicurarsi che le chiavi di registro vengano modificate.

    Si osservi che dopo il riavvio, il worm residente in memoria rimarrà inattivo. In altre parole, se viene riavviato un sistema infetto, il worm non tenterà più di diffondersi ad altre macchine, tranne nel caso in cui il sistema venga colpito nuovamente da una infezione.

    Il cavallo di Troia modifica inoltre la chiave di registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\
    Windows NT\CurrentVersion\Winlogon

    in modo che il valore di

    SFCDisable

    sia impostato su

    0xFFFFFF9D

    Così facendo viene disattivato il Controllo file di sistema (SFC).

    NOTE:

    • Se è in esecuzione Microsoft FrontPage o un simile programma per la progettazione di pagine web, è possibile che il server IIS sia installato sul proprio computer.
    • Per ulteriori informazioni, e per ottenere la stringa aggiunta ai file di registro di IIS, accedere al sito del CERT Coordination Center all'indirizzo: http://www.cert.org/incident_notes/IN-2001-08.html

    recommendations

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione

    SARC ha approntato un'utilità che esegue l'analisi della vulnerabilità del computer ed è in grado di rimuovere i worm CodeRed e CodeRed II. Per ottenere l'utilità di rimozione CodeRed, fare clic qui. Se per qualche ragione non è possibile utilizzare o procurarsi l'utilità di rimozione CodeRed, è necessario eliminare il worm manualmente.

    Rimozione manuale

    Per rimuovere manualmente il worm è necessario installare gli aggiornamenti Microsoft richiesti, eliminare i file, eseguire altre modifiche, e quindi intervenire sul Registro di sistema. Seguire le istruzioni nell'ordine proposto.

    Come ottenere gli aggiornamenti:
    Questo passaggio è molto importante. Non saltare questo passaggio.

    Per trovare, scaricare e installare l'aggiornamento procedere come segue:

    http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

    In alternativa, è possibile scaricare e installare l'aggiornamento completo di IIS, all'indirizzo:

    http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

    Come eliminare i file del worm:
    1. Arrestare il processo in corso legato al rilascio del cavallo di Troia (NAV lo rileva come Trojan.VirtualRoot):
      1. Premere Ctrl+Alt+Canc e fare clic su Task Manager.
      2. Fare clic sulla scheda Processi.
      3. Per disporre le voci dell'elenco dei processi in ordine alfabetico, fare clic sull'intestazione della colonna Nome immagine. Dovrebbero comparire due processi dal nome Explorer.exe: uno dei due è il pogramma legittimo, l'altro è il cavallo di Troia.
      4. Per accertarsi di terminare il processo giusto, fare clic su Visualizza e quindi clic su "Seleziona colonne...".
      5. Selezionare l'opzione "Conteggio dei thread" e fare clic su OK.
      6. Nel Task Manager compare una nuova colonna che elenca il numero di thread associati a ciascun processo (per visualizzarlo potrebbe essere necessario fare scorrere la barra laterale).
      7. Fare clic sul processo Explorer.exe che ha solo un thread.
      8. Dopo averlo selezionato, fare clic su Termina processo. Viene visualizzato un messaggio di avviso.
      9. Fare clic su Sì per terminare il processo.
      10. Fare clic su File, e poi su Esci da Task Manager.
    2. Il passaggio successivo prevede l'eliminazione dei file Explorer.exe creati sul sitema infetto. Entrambi questi file hanno gli attributi nascosto, sistema e sola lettura.
      1. Fare clic su Start e poi su Esegui.
      2. Digitare quanto indicato qui di seguito, quindi premere Invio.

        cmd
      3. Digitare i seguenti comandi premendo Invio al termine di ognuno:

        cd c:\
        attrib -h -s -r explorer.exe
        del explorer.exe

        Questo passaggio consente di modificare la directory principale, rimuovere gli attributi ed eliminare il cavallo di Troia dall'unità C.
      4. Digitare quanto indicato qui di seguito, quindi premere Invio,

        d:

        I prossimi comandi saranno applicati all'unità D, se esiste (se l'unità D non è presente, procedere al passaggio f).
      5. Digitare i seguenti comandi premendo Invio al termine di ognuno:

        cd d:\
        attrib -h -s -r explorer.exe
        del explorer.exe
      6. Digitare quanto indicato qui di seguito, quindi premere Invio.

        exit
    3. Mediante Esplora risorse, eliminare i quattro file seguenti, se presenti (si tratta di semplici copie del file %Windir%\root.exe):
      • C:\Inetpub\Scripts\Root.exe
      • D:\Inetpub\Scripts\Root.exe
      • C:\Progra~1\Common~1\System\MSADC\Root.exe
      • D:\Progra~1\Common~1\System\MSADC\Root.exe
    4. È ora necessario aprire Gestione computer per eliminare le condivisioni aperte sul server Web. Fare clic con il pulsante destro del mouse sull’icona Risorse del computer nel desktop di Windows, quindi fare clic su Gestione.



      Viene visualizzata la finestra Gestione computer.
    5. Nel riquadro sinistro, accedere a \Gestione computer (locale)\Servizi e applicazioni\Servizi Internet\Sito Web predefinito.
    6. Nel riquadro destro, fare clic con il tasto destro del mouse sull'icona dell'unità C e fare clic su Elimina. Ripetere questo passaggio per tutte le altre unità elencate nella cartella Sito Web predefinito.


    7. Procedere alla sezione successiva.

    Come modificare il Registro di sistema:

    ATTENZIONE: prima di modificare il Registro di sistema si raccomanda di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati o danni ai file irreversibili. Modificare unicamente le chiavi indicate in questo documento. Prima di procedere, consultare il documento Come eseguire il backup del registro di Windows.
    1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
    2. Digitare regedit quindi fare clic su OK. Si apre l'Editor del Registro di sistema.
    3. Accedere alla chiave:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\
      Services\W3SVC\Parameters\Virtual Roots

      Nel riquadro di destra verranno visualizzati diversi valori. Due di questi valori possono essere eliminati, in quanto creati da CodeRed II. Ed è necessario aggiornarne altri.
    4. Selezionare il valore

      /C
    5. Premere Canc, quindi fare clic su Sì per confermare.
    6. Selezionare il valore

      /D
    7. Premere Canc, quindi fare clic su Sì per confermare.
    8. Fare doppio clic sul valore

      /MSADC
    9. Eliminare esclusivamente la cifra 217 dai dati del valore trovati e sostituirla con la cifra 201, quindi fare clic su OK.
    10. Fare doppio clic sul valore

      /Scripts
    11. Eliminare esclusivamente la cifra 217 dai dati del valore trovati e sostituirla con la cifra 201, quindi fare clic su OK.

      NOTA: l'utilità di rimozione CodeRed elimina completamente le voci /MSADC e /Scripts del Registro di sistema. Dopo avere utilizzato tale utilità, al riavvio di IIS, è necessario creare nuovamente le voci sopramenzionate assegnando loro i valori appropriati.
    12. Effettuare una delle seguenti operazioni:
      • Se il sistema operativo non è Windows 2000, passare al punto 16.
      • Se il sistema operativo è Windows 2000, passare al punto 13.
    13. Accedere alla chiave:

      HKEY_LOCAL_MACHINE\Software\Microsoft\
      Windows NT\CurrentVersion\WinLogon
    14. Nel riquadro destro, fare doppio clic sul valore:

      SFCDisable
    15. Eliminare i dati trovati, poi digitare 0 (digitare il numero 0, e non la lettera "O"). Fare clic su OK.
    16. Uscire dall'Editor del registro di sistema.
    17. Riavviare il computer per accertarsi che CodeRed II sia stato completamente eliminato.


    18. Informazioni aggiuntive:

    Quando un computer contrae CodeRed II, è molto difficile stabilire a quali altri attacchi sia stato esposto. Nella maggior parte dei casi un sistema infetto non è ancora stato attaccato in altro modo. Tuttavia, dato che alcuni di questi computer sono diventati vulnerabili agli attacchi, potrebbero avere consentito l'esecuzione di altre attività nocive. Se non è possibile essere completamente certi (dalla lettura del Registro degli eventi) che non sia stata eseguita alcun'altra attività nociva sul computer, è consigliabile reinstallare completamente il sistema. In questo modo, il computer sarà pulito al cento per cento.

    Revisioni:


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


    Documento realizzato da: Peter Szor, Eric Chien