红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 。它会攻击运行微软IIS Web服务器的计算机。
eEye Digital Security员工Marc Maiffret和Ryan Permeh首先发现和研究了红色代码蠕虫,蠕虫利用了Riley Hassell发现的漏洞。他们将其命名为“Code Red”,因为Code Red Mountain Dew是他们当时正在喝的饮料。
尽管蠕虫在7月13日开始散布,2001年7月19日就感染了数量最多的计算机。在这一天,受感染的主机数量达到了359,000台。
随IIS的市场份额的不断增长,该蠕虫使用了一个在微软安全公告MS01-033中描述的漏洞,而补丁已在一个月前发布。
蠕虫使用一种常见的漏洞(称为缓冲区溢出)进行传播。它使用重复字母'N'的长字符串来溢出缓冲区,从而使蠕虫执行任意代码并用蠕虫感染机器。Kenneth D. Eichman是第一个发现如何阻止它,并被邀请到白宫讲解他的发现的人。
蠕虫的有效载荷包括:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- 其他基于月份日的活动:
- 第1-19天:尝试通过在互联网上查找更多IIS服务器来进行自我传播。
- 第20-27天:向多个固定的IP地址发动拒绝服务攻击。白宫网络服务器的IP地址就是其中之一。
- 第28天-月底:休眠,不主动攻击。
在扫描易受攻击的计算机时,蠕虫不会测试远程计算机上运行的服务器是否是易受攻击的IIS版本,甚至无法检测它是否运行IIS。此时的Apache访问日志经常有这样的条目:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
蠕虫的有效载荷是最后一个'N'后面的字符串。由于缓冲区溢出,易受攻击的主机将此字符串解释为计算机指令,传播蠕虫。
2001年8月4日,红色代码II出现。红色代码II是原始红色代码蠕虫的一个变种。尽管它使用相同的注入向量,但它有完全不同的有效载荷。它根据固定的概率分布伪随机地选择与被感染机器相同或不同子网上的目标,同时更倾向于位于自己子网内的目标。此外,它使用重复的'X'字符而不是'N'字符模式来使缓冲区溢出。
eEye公司认为,该蠕虫起源于菲律宾马卡蒂市,与VBS/Loveletter(又名“ILOVEYOU”)蠕虫来源相同。
Template:2000年代黑客
