Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

CodeRed Worm

Categoria 2
Scoperto in data: 16/07/2001
Ultimo aggiornamento in data: 26/10/2004


Aggiornamento CodeRed Worm: 11 maggio 2002, Venerdì, (9:00 Pacifico):

Il Symantec Security Response ha reso disponibile un'utilità che esegue l'analisi della vulnerabilità del computer ed è in grado di rimuovere i worm CodeRed e CodeRed II. Per ottenere l'utilità di rimozione CodeRed, fare clic qui.

Aggiornamento CodeRed Worm: 5 agosto 2001 (12:00 Pacifico):
È stata rilevata una variante del Worm CodeRed denominata CodeRed II. Fate clic qui per ulteriori informazioni.

Aggiornamento CodeRed Worm: 31 luglio 2001 (13:00 Pacifico):
Il 28 luglio 2001 i computer infettati da CodeRed hanno smesso di propagare l'infezione a causa di un codice intrinseco al worm stesso che ne provoca l'inattivazione definitiva. Sebbene si sia speculato sulla questione del presunto risveglio del worm previsto per il 1 agosto 2001, le analisi effettuate sul worm CodeRed dal Symantec Security Response indicano che il risveglio dell'infezione non interesserà i computer già infettati. Se il worm viene nuovamente introdotto in Internet, potrà colpire solamente computer che hanno ancora la vulnerabilità del server Web. I computer precedentemente infettati possono venire reinfettati se nel frattempo non sono stati aggiornati con le patch di sicurezza. Il SARC consiglia agli utenti di IIS4.0 e 5.0 di installare la patch di Microsoft prima del 1 agosto. Il Security Response continuerà a monitorare su Internet le attività del CodeRed e all'occorrenza renderà disponibili degli aggiornamenti in questa pagina.

Il worm CodeRed colpisce Microsoft Index Server 2.0 e il servizio di indicizzazione di Windows 2000 nei computer con sistema operativo Windows NT 4.0 e Windows 2000 su server web IIS 4.0 e 5.0. Il worm si serve di una vulnerabilità nota di overflow del buffer contenuta nel file Idq.dll. Per informazioni su questa vulnerabilità e per scaricare la patch di Microsoft accedere a:

http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

È possibile scaricare un aggiornamento completo per server IIS che comprende le quattro patch disponibili, all'indirizzo:

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

Si incoraggiano gli amministratori di sistema a installare gli aggiornamenti di Microsoft per prevenire infezioni causate da questo virus ed altre violazioni di accesso.

Per valutare i diversi metodi di difesa da tale minaccia e dalla vulnerabilità che la rende possibile, o se si utilizza Symantec Enterprise Firewall, consultare la sezione Informazioni aggiuntive verso la fine del documento.

Fare clic qui per informazioni su come sfruttare appieno le tecnologie Symantec nella lotta contro la minaccia CodeRed.

  

Noto anche come: W32/Bady, I-Worm.Bady, Code Red, CodeRed, W32/Bady.worm
Tipo: worm
Lunghezza dell’infezione: 3569
Riferimenti CVE: CVE-2001-0500, CVE-2001-0506

protezione
  • Definizioni dei virus (Intelligent Updater)

    • 17/07/2001

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Media Media

    Wild:
    Bassa

    Danno:
    Media

    Distribuzione:
    Media

    Danno

    Distribuzione

    informazioni tecniche

    Il worm invia il proprio codice sotto forma di richiesta HTTP. La richiesta HTTP sfrutta una vulnerabilità nota di overflow del buffer, che autorizza il worm ad essere eseguito sul computer. Il codice nocivo non viene salvato sotto forma di file, ma viene inserito nella memoria ed è eseguito direttamente da questo percorso.

    Una volta, eseguito il worm cerca il file C:\Notworm. Se il file esiste, il worm non viene eseguito e il thread viene disattivato definitivamente.

    Se invece il file C:\Notworm non esiste, vengono creati nuovi thread. Se l'infezione avviene prima del 20 del mese, i 99 thread successivi tentano di attaccare altri computer prendendo di mira indirizzi IP generati a caso. Per evitare di ritrasmettere l'infezione al primo computer, il worm non invia richieste HTTP agli indirizzi IP 127.*.*.* .

    Se la lingua predefinita del computer è l'inglese U.S., altri thread rendono illeggibili le pagine Web. Il thread rimane inattivo per due ore, dopodiché si aggancia a una funzione che risponde alle richieste HTTP. Invece di visualizzare la pagina Web corretta, il worm visualizza il proprio codice HTML.

    HTML visualizza:

    Welcome to http:// www.worm.com !
    Hacked By Chinese!

    Questo aggancio dura almeno 10 ore e poi viene rimosso. Tuttavia, una reinfezione o altri thread possono agganciare nuovamente la funzione.

    Sono note due versioni di tale worm "in the wild". La seconda versione non provoca un'alterazione delle pagine Web rendendole illeggibili.

    Se invece la data dell'infezione è tra il 20 e il 28 del mese, i thread attivi tentano di sferrare un attacco "Denial of Service" su un determinato indirizzo IP, inviando enormi quantità di dati inutili sulla porta 80 (Web service) dell'indirizzo 198.137.240.91, un tempo denominata www.whitehouse.gov. Tale indirizzo IP è ora stato modificato e non è più attivo.

    Infine, se la data dell'infezione è posteriore al 28 del mese, i thread del worm non vengono eseguiti e diventano definitivamente inattivi. La creazione dei vari thread può causare l'instabilità del computer.

    NOTE:

    • Se è in esecuzione Microsoft FrontPage o un simile programma per la progettazione di pagine web, è possibile che il server IIS sia installato sul proprio computer.
    • Per ulteriori informazioni, e per ottenere la stringa aggiunta ai file di registro di IIS, accedere al sito del CERT Coordination Center all'indirizzo:

      http://www.cert.org/incident_notes/IN-2001-08.html

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione

    Il Symantec Security Response ha reso disponibile un'utilità che esegue l'analisi della vulnerabilità del computer ed è in grado di rimuovere i worm CodeRed e CodeRed II. Per ottenere l'utilità di rimozione CodeRed, fare clic qui.

    Se per qualche ragione non è possibile utilizzare o procurarsi l'utilità di rimozione CodeRed, è necessario eliminare il worm manualmente.

    Come rimuovere manualmente il worm:
    1. Per trovare, scaricare e installare la patch accedere al sito Web:

      http://www.microsoft.com/technet/security/bulletin/MS01-033.asp

      In alternativa, è possibile scaricare e installare l'aggiornamento completo per IIS, all'indirizzo:

      http://www.microsoft.com/technet/security/bulletin/MS01-044.asp
    2. Riavviare il computer.


    Informazioni aggiuntive:

    Symantec offre diversi metodi alternativi per verificare la presenza di tale minaccia e della vulnerabilità che la rende possibile:

    Utenza domestica:

    • Symantec Security Check è uno strumento che consente di valutare se il proprio computer è vulnerabile. Fare clic qui per avviare la scansione gratuita in linea.
    • Symantec Security Check è uno strumento che consente di valutare se il proprio computer è vulnerabile. Se viene rilevata la vulnerabilità, questo strumento eseguirà anche la scansione della memoria per stabilire se è presente il worm. Fare clic qui per scaricare lo strumento sul computer.
    • Norton Internet Security è la suite integrata per la sicurezza e la privacy di Symantec recentemente aggiornata con una nuova regola che blocca il traffico di dati sospetti in uscita dal server IIS. Per applicare questa nuova regola a Norton Internet Security è sufficiente eseguire LiveUpdate.

    Utenza aziendale:
    • Symantec Security Check è uno strumento gratuito che consente di valutare se il proprio computer è vulnerabile. Fare clic qui per avviare la scansione gratuita in linea.
    • "FixCodeRed Assessment Tool" è uno strumento gratuito che consente di determinare se il proprio computer è vulnerabile. Se la scansione rivela una vulnerabilità, esegue anche la scansione della memoria per determinare se il computer è infettato da un worm. Fare clic qui per scaricare lo strumento sul computer.
    • Enterprise Security Manager (ESM) è un strumento per la gestione delle policy di sicurezza e per il monitoraggio delle vulnerabilità di Symantec che aiuta a gestire gli aggiornamenti di sicurezza grazie al modulo ESM. Sono disponibili due template di aggiornamento che rilevano tale vulnerabilità su server Windows NT 4.0 e Windows 2000. Scaricare q300972.zip, ed estrarre i template nella cartella /esm/template di ESM Manager.
    • NetProwler è lo strumento Symantec su rete per il rilevamento delle intrusioni. Installando la Security Update 8, sarà in grado di rilevare i tentativi di attacco sferrati ai server IIS 4.0 e 5.0 che sfruttano tale vulnerabilità. È possibile scaricare NetProwler SU8 avviando la funzione aggiornamento automatico del prodotto.
    • Symantec Enterprise Firewall è l'applicazione firewall di ispezione Symantec. Per impostazione predefinita blocca il traffico sospetto di dati in uscita dai server Web quali IIS. Quando viene eseguito sulla rete di servizio del firewall, arresta il diffondersi dell'infezione, oltre ad altri tipi di attacchi. Per ulteriori informazioni sulle impostazioni predefinite consultare la sezione Informazioni dettagliate su Symantec Enterprise Firewall nel presente documento.
    • NetRecon, lo strumento Symantec per il controllo della vulnerabilità di rete, è stato aggiornato per rilevare tale vulnerabilità. Questo strumento controlla Microsoft IIS Index Service, e avvisa nel caso in cui il proprio server IIS sia esposto alla minaccia. Fare clic qui per accedere a ulteriori informazioni.

    La semplice ricerca di un file quale C:\Notworm o la visualizzazione dei file HTML di pagine Web danneggiate non sono elementi sufficienti nel rilevamento dell'infezione, poiché il worm viene eseguito solo in memoria e non scrive mai direttamente informazioni sul disco rigido del computer colpito. Per ulteriori informazioni, consultare la sezione Technical Description. Parimenti, la ricerca di tracce del worm nei file di registro non è sufficientemente affidabile, dal momento che persino i computer con gli ultimi aggiornamenti installati possono contenere voci di registro di precedenti attacchi. Symantec raccomanda vivamente di applicare la patch di Microsoft, invece di affidarsi a tali metodi di rilevamento, dal momento che sono inaffidabili.

    Il worm si diffonde mediante richieste HTTP. Questo codice sfrutta una vulnerabilità nota di overflow del buffer, che autorizza il worm ad essere eseguito sul computer. Il codice nocivo non viene salvato sotto forma di file, ma viene inserito nella memoria ed è eseguito direttamente da questo percorso. Installando la patch di Microsoft e riavviando il computer il worm verrà eliminato e si proteggerà il computer da future infezioni.

    Oltre a ricercare nuovi computer host da attaccare, il worm può tentare di sferrare un attacco "Denial of Service". Il worm crea inoltre diversi thread, che possono causare l'instabilità del computer.

    Infine, anche i prodotti Cisco non aggiornati ed altri servizi in ascolto della porta 80, quali le schede Hewlett Packard JetDirect, possono essere passibili di attacchi oppure ricevere un "Denial of Service" dovuto alla scansione della porta.


    Informazioni dettagliate su Symantec Enterprise Firewall

    Symantec Enterprise Firewall, VelociRaptor Firewall appliance e Symantec Raptor Firewall forniscono uno spettro di protezione, che comprende le configurazioni di sicurezza "protect by default", la tecnologia di ispezione delle applicazioni di terza generazione e automatic initial and ongoing system hardening per garantire la protezione della rete da parte del firewall. In tale situazione l'approccio "protect by default" è risultato in un beneficio per i nostri clienti e più in generale per la comunità Internet, contribuendo ad arrestare la diffusione del worm CodeRed. È possibile impedire automaticamente e per impostazione predefinita la diffusione di tale worm grazie ad uno di questi firewall, quando i server Web pubblici dell'utente si trovano nella rete di servizio del firewall. Si raccomanda di controllare minuziosamente le proprie configurazioni per accertarsi che non siano state aggiunte delle regole che consentano ai server Web della propria rete di servizio di eseguire richieste Web in uscita. Dal momento che tale situazione non è frequente, non sono necessari cambiamenti sul proprio Symantec Gateway Firewall.

    Se vi sono server Web pubblici sulla rete "interna" del firewall, Symantec consiglia caldamente di aggiungere una regola al firewall che impedisca ai propri server Web di eseguire richieste web in uscita. Dato che i server Web devono normalmente accettare richieste Web in entrata e non devono eseguire richieste Web in uscita, ciò non dovrebbe avere effetti negativi sulle operazioni quotidiane. Questa modifica migliorerà la sicurezza complessiva della rete contribuendo alla prevenzione del diffondersi di tale worm. Si consiglia inoltre di effettuare una revisione della configurazione della propria rete, e dell'implementazione del server Web. Per una protezione davvero efficace, si consiglia inoltre di tenere i server accessibili dal pubblico nella rete di servizio del firewall e non nella rete interna.

    Per ulteriori informazioni consultare il documento Symantec Enterprise Security Solutions protect against the Microsoft Windows IIS Index Server ISAPI System-level Remote Access Buffer Overflow.

    Per determinare se sono stati scaricati gli ultimi aggiornamenti sul proprio server, Microsoft fornisce IIS 5.0 Hotfix Checking Tool, all'indirizzo:

    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24168

    Una nota informativa di Cisco sui prodotti che possono essere colpiti è disponibile all'indirizzo:

    http://www.cisco.com/warp/public/707/cisco-code-red-worm-pub.shtml

    Revisioni:


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


    Documento realizzato da: Eric Chien