İnternette hızla yayılan Code Red-2 virüsü 2 milyar dolarlık zarara neden oldu. 29a adlı grubun üyesi olan Hollandalı bilgisayar korsanları, tartışma forumlarında, Code Red-2 virüsünü kendilerinin yazdıklarını açıkladılar.
Code Red-2 virüsü, başta ABD, Avrupa ve Çin başta olmak üzere kimi Asya ülkelerinde etkili oldu. Güney Kore’de hükümete ait bir site Kızıl Kod 2 nedeniyle kapandı. Şimdiye kadar bilişim dünyasına en büyük zararı “Aşk Virüsü” vermişti.
İnternette hızla yayılan Code Red-2 virüsünün 2 milyar dolarlık zarar verdiği, daha önceki Code Red saldırılarında ise 350 bin sunucu, 150 bin bilgisalar etkilendiğini gözönüne alan uzmanlar, virüslerin yarattığı zararın 1 aylık faturasının henüz hesaplanmadığını söylerken, faturanın 5 milyar doları bulmasından korkuyorlar.
Almanya’daki Bilgi İşlem Güvenliği Federal Bürosu virüs uzmanı Frank Felzmann, virüsün gerçekten Hollandalı korsanların işi olup olmadığı konusunda ellerinde kanıt olmadığını söyledi. Felzmann, virüsün internette yayılmasının virüsü yapanı ya da yapanları bulma ihtimalini azalttığını kaydetti. Felzmann, virüsün ilk versiyonunun Çinli bilgisayar korsanları tarafından yazıldığına yönelik iddiaların da doğru olmadığını söyledi.
Code Red-2’de Sunucuları etkiliyor
Kendisinden önceki iki CodeRed gibi bu solucan da, sadece sunucuları etkiliyor.
Code Red-2, Windows’un sunucu bilgisayarları için ürettiği IIS işletim sisteminde yer alan güvenlik açığından yararlanıyor. Windows 95, 98, NT 4.0 ve 2000 kullanıcıları bu solucandan etkilenmiyor. Bu solucanın farkı bilgisayarın hafızasına bir arka kapı bırakması ve bu kapıdan ağa sızmalara izin vermesi.
Bilgisayarı kapatmak yeterli gelmiyor
İlk iki solucanı etkisiz hale getirmenin yollarından biri bilgisayarı yeniden başlatmaktı. Ancak CodeRed C, sabit diske bir arka kapı dosyası yerleştiriyor ve bilgisayarın yeniden başlatılması onu artık sistemden temizlemeye yetmiyor. Arka kapıdan sızan hacker, ağ üzerinde birçok manevra yapabiliyor hatta tüm ağı eline geçirebiliyor.
Çaresi Trend Micro’da
Bilgisayarlarını CodeRedC’den korumak isteyen BT yetkilileri bunun için www.microsoft.com/technet/security/bulletin/MS01-033.asp adresinden gerekli yamayı indirmeliler. Bu solucanı temizlemek içinse, Türkiye temsilciliğini InfoNet’in yaptığı Trend Micro’nun ücretsiz yazılımını http://www.antivirus.com/vinfo/security/fixcodec.zip adresinden indirebilirler.
Solucan ilk Temmuz’da görüldü
İlk saldırısı 19 Temmuz’da ABD’de 350 bin sunucuya bulaşarak zarar veren Code Red, özellikle ABD hükümetine ait siteleri hedeflemişti. Önce Beyaz Saray’ı hedefleyen ancak çökertmeyi başaramayan solucan, Pentagon’un sitesini başarıyla çökertmiş, siteye girmek isteyen ziyaretçiler birkaç saat boyunca “Hacked by Chinese” (Çinlilerce hack edildi) ifadesiyle karşılaşmışlardı.
İkinci saldırıyı 31 Temmuz’u 1 Ağustos’a bağlayan geceyarısı Türkiye saati ile 03:00’da gerçekleştiren Code Red adlı solucan, Internet’e bağlı sunucu bilgisayarlarını ele geçirmeye çalıştı. ABD’deki Ulusal Altyapı Koruma Merkezi’nden (NIPC) yapılan açıklamaya göre, solucan Internet’e bağlı milyonlarca sunucuyu tarayarak kendini kopyalamaya başladı. Yalnızca ABD’de 150 bin bilgisayarı etkiledi. ABD Savunma Bakanlığı Pentagon koruma amacıyla internet sitesini kapattı. Türkiye’de ise internet bağlantılarında kısmi kesintiler görüldü. Ancak Code Red hasarı konusunda yeterli bilgi sağlanamadı.
Virüsün ne derece etkili olduğu tam olarak bilinmiyor
Çinli Solucan, şirket ve hükümet kuruluşlarını hedef alıyor. Amerikan hükümet kuruluşları, halen ihtiyatı elden bırakmazken, virüsün ne derece etkili olduğu konusunda yorum yapmaktan kaçınıyorlar. Federal Soruşturma Bürosu (FBI), Beyaz Saray ve diğer kuruluş yetkilileri, “durumu izliyoruz” açıklamasıyla yetindiler.
Virüs yüzünden, ABD’de internet bağlantılarında yaygın olarak kesintiler ve sistemde yavaşlama gibi sıkıntılar yaşanıyor.
Ardından CodeRed-2 geldi
Code Red-2 olarak adlandırılan virüs ise, ilkinden altı kat daha hızlı yayıldığı açıklandı. Bu virüsün de çaresi, Microsoft’a ait bazı işletim sistemleri için güvenlik yama programının indirilmesi halinde etkisiz hale getirileceği söylendi.
Ancak, Code Red-2’nin önceki virüs gibi, ağ üzerinde aynı internet bağlantısını kullanan bilgisayarlara saldırdığı, yeni virüsün Web sitelerini tahrif etmek ve kendini yaymak yerine, virüsün bulaştığı bilgisayarlarda açık kapı (backdoor) bıraktığı bildirildi.
Code Red-2’nin, bilgisayarlara ‘Truva Atı’ adı verilen başka bir virüs yerleştirdiğini ve bu sayede başka kullanıcıların virüslü bilgisayara girmelerine imkan tanıdığı belirtiliyor. Bu virüsün, önceden yama programı indirilmiş bilgisayarları etkilemediğini ve Code Red virüsüne karşı önceden önlem alanların endişe etmelerini gerektirecek bir durum olmadığı belirtiliyor.