코드 레드 (컴퓨터 웜)

.ida 코드 레드 웜
보통 명칭	코드 레드
기술 명칭	CRv and CRvII
유형	서버 재밍 웜(Server Jamming Worm)
격리일	2001년 7월 15일

코드 레드(Code Red) 웜은 2001년 7월 13일 처음 관찰된 웜 바이러스로, 마이크로소프트 인터넷 정보 서비스(IIS)의 버퍼 오버플로 취약점을 이용하였다. 또한 감염된 후 20일~27일 동안 잠복한 후, 미국 백악관 홈페이지 등 몇몇 IP에 서비스 거부 공격(DoS)을 하는 루틴도 포함되어 있었다.

웜이 7월 13일 공개되었으나 감염된 최대 컴퓨터 그룹은 2001년 7월 19일 관찰되었다. 이 날, 감염된 호스트의 수는 359,000대에 다다랐다.^[1]

개념[편집]

웜 페이로드[편집]

웜의 페이로드에는 다음이 포함되었다:

표시되는 웹사이트의 변조:

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

해당 달의 날에 기반한 다른 활동:^[2]
- 1-19일: 인터넷의 더 많은 IIS 서버를 검색함으로써 스스로를 전파한다.
- 20–27일: 여러 고정 IP 주소에 서비스 거부 공격을 수행한다. 백악관 웹 서버의 IP 주소가 이 중에 속해 있다.^[1]
- 28일~월말: 수면. 별다른 활동 없음.

취약한 머신을 스캔할 때 이 웜은 운격 머신이 취약한 버전의 IIS를 사용하는지, 또 전적으로 IIS를 사용하는지도 테스트하지 않았다. 이 시기 아파치 접속 기록은 다음과 같은 항목이 포함되었다:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNN
%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801
%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  HTTP/1.0

이 웜의 페이로드는 마지막 N으로 마무리된다. 버퍼 오버플로 때문에, 취약성이 있는 호스트는 이 문자열을 컴퓨터 명령으로 해석하고 웜을 전파시킨다.

각주[편집]

↑ ^가 ^나 Moore, David; Colleen Shannon (c. 2001). “The Spread of the Code-Red Worm (CRv2)”. 《CAIDA Analysis》. 2006년 10월 3일에 확인함.
↑ “CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL”. 《CERT/CC》. 2001년 7월 17일. 2010년 6월 29일에 확인함.

외부 링크[편집]

Microsoft 한국 테크넷 보안정보^{[깨진 링크(과거 내용 찾기)]}
(영어) CERT® Advisory CA-2001-19

	이 글은 컴퓨터 과학에 관한 토막글입니다. 여러분의 지식으로 알차게 문서를 완성해 갑시다.
	이 글은 보안에 관한 토막글입니다. 여러분의 지식으로 알차게 문서를 완성해 갑시다.

[caida-1] 가 ^나 Moore, David; Colleen Shannon (c. 2001). “The Spread of the Code-Red Worm (CRv2)”. 《CAIDA Analysis》. 2006년 10월 3일에 확인함.

[2] “CERT Advisory CA-2001-19: 'Code Red' Worm Exploiting Buffer Overflow In IIS Indexing Service DLL”. 《CERT/CC》. 2001년 7월 17일. 2010년 6월 29일에 확인함.

[1]

[2]