Çarşamba saat 3.00’den itibaren aktif hale geçen Code Red virüsü, yalnızca ABD’de 150 bin bilgisayarı etkiledi. ABD Savunma Bakanlığı Pentagon koruma amacıyla internet sitesini kapattı.
ABD’deki Ulusal Altyapı Koruma Merkezi’nden (NIPC) yapılan açıklamaya göre, 19 Temmuz’da ABD’de 350 bin sunucuya bulaşarak zarar vermişti. Code Red 19 Temmuz’daki saldırısında özellikle ABD hükümetine ait siteleri ve Beyaz Sarayı hedeflemişti. Ancak, Beyaz Saray’ı çökertmeyi başaramayan virüsün ikinci saldırısında 150 bin bilgisayarı etkilediği belirtildi.
Virüsün Çarşamba sabahı yeniden etkili olması üzerine başta Savunma Bakanlığı olmak üzere, bazı siteler korunma amacıyla sitelerini kapattı. Türkiye’de ise internet bağlantılarında kısmi kesintiler görüldü. Ancak Code Red hasarı konusunda yeterli bilgi sağlanamadı.
Çinli Solucan, şirket ve hükümet kuruluşlarını hedef alıyor. Amerikan hükümet kuruluşları, halen ihtiyatı elden bırakmazken, virüsün ne derece etkili olduğu konusunda yorum yapmaktan kaçınıyorlar. Federal Soruşturma Bürosu (FBI), Beyaz Saray ve diğer kuruluş yetkilileri, “durumu izliyoruz” açıklamasıyla yetindiler.
Virüs yüzünden, ABD’de internet bağlantılarında yaygın olarak kesintiler ve sistemde yavaşlama gibi sıkıntılar yaşanıyor. Uzmanlar, virüsün yeni tasarlanmış versiyonlarının, bir kez daha programlanarak internet sitelerine saldırmasından endişe ederken, “tehlike henüz geçmedi” uyarısında bulunuyorlar. Virüsün etkili olduğu sayfada, kırmızı, büyük harflerle, “Çinliler tarafından kırıldı” (Hacked by Chinese) ibaresi yer alıyor.
Ücretsiz Tarama
İnfonet’den aldığımız bilgiye göre, bu solucan bir çok PC için minimal risk taşımasına rağmen, yapılması gereken önlemler şöyle sıralanıyor:
Trend Micro, bütün kullanıcıları PC’lerini HouseCall (http://housecall.antivirus.com ) virus tarama programı ile internet üzerinden ücretsiz olarak taramalarını öneriyor.
Microsoft Windows NT 4.0 veya Windows 2000 Web serverlarının sistem adminleri, Microsoft üzerinden MS01-033 yamasını geçmeleri gerekiyor.
Code Red Solucanı Nedir?
Bu solucan IIS (Internet Information Service) Web Serverlerdeki buffer overflow (hafıza tasma) açigini kullanarak uzaktan bağlanan kullanıcıya sistem seviyesinde haklar vererek network güvenliğini tehlikeye sokar. Bu solucaıin ikiye ayrılmış tetikleme günleri ve iki değişik davranış şekli vardır. Sistem tarihi 20 ve 28’i arasında ise solucan bir hükümet sayfasına (www.whitehouse.gov) denial of service attack (DDoS) ta bulunur. Eğer sistem tarihi 20’den düşük ise rastgele IP numaraları oluşturur ve bunları TCP 80 portu üzerinden gönderir.
Code Red Solucanın Etkileri Ne Olacak?
Solucan 19 Temmuz’da bir DDoS atagı yaptı. CNN’e göre bu atak white house’u hedef almıştı ve etkilenen web sayfasına ulaşım Pentagon tarafindan kesilmişti. Kullanıcılar etkilenmiş sayfalara girdiklerinde “Hacked by Chinese” mesajiyla karşılaşacaklar.
IIS ve Index Server’daki Açığa Sebep Olan Şey Nedir?
Açığın sebebi NT 4.0 Index Server daki ve windows 2000 deki Indexing Service in ISAPI uzantısındaki kontrol edilmemiş bir koddan kaynaklaniyor. Atak yapan kişi yada program webserver uzerindeki ISAPI uzantısına özel yapılandırılmış bir istekte bulunduğunda istediği kodun çalışmasını sağlayabiliyor.
Index Server ve Indexing Service Nedir?
Index Server 2.0 ve Indexing Service’leri text arama ve indexleme amacıyla kullanılmaktadır. Web server yada web sitesi üzerinde istediğiniz bir dosyayı arama özelliği bulunmaktadır. Bu da kullanıcıya aradığı dokumanı anahtar kelimelere yada özelliklerine göre bulma esnekliği sağlar. Index Server 2.0 NT ile değil Option Pack paketiyle gelmektedir. Indexing Service ise Windows 2000 le birlikte gelmektedir.
Bu Solucan Hakkında Kimler Endişelenmeli?
NT 4.0 üzerinde Option Pack ve Microsoft Windows 2000 Server kullanan web server adminleri, derhal microsoft sayfasından bu konuda çıkan yamaları geçmeleri gerekir. Son kullanıcı için herhangi bir tehlike söz konusu değildir (Windows 95/98/Me/2000 professional…)
Enfeksiyondan Korunmak İçin Ne Yapmam Gerekiyor?
Bu Konudaki İlan:
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS01-033.asp
adresinden okunabilir.
Yamalar ise: Windows NT 4.0 için:
http://www.microsoft.com/Downloads/Release.asp?
ReleaseID=30833
Windows 2000 İçin:
http://www.microsoft.com/Downloads/Release.asp?
ReleaseID=30800
Çarşamba saat 3.00’den itibaren aktif hale geçen Code Red virüsü, yalnızca ABD’de 150 bin bilgisayarı etkiledi. ABD Savunma Bakanlığı Pentagon koruma amacıyla internet sitesini kapattı.
ABD’deki Ulusal Altyapı Koruma Merkezi’nden (NIPC) yapılan açıklamaya göre, 19 Temmuz’da ABD’de 350 bin sunucuya bulaşarak zarar vermişti. Code Red 19 Temmuz’daki saldırısında özellikle ABD hükümetine ait siteleri ve Beyaz Sarayı hedeflemişti. Ancak, Beyaz Saray’ı çökertmeyi başaramayan virüsün ikinci saldırısında 150 bin bilgisayarı etkilediği belirtildi.
Virüsün Çarşamba sabahı yeniden etkili olması üzerine başta Savunma Bakanlığı olmak üzere, bazı siteler korunma amacıyla sitelerini kapattı. Türkiye’de ise internet bağlantılarında kısmi kesintiler görüldü. Ancak Code Red hasarı konusunda yeterli bilgi sağlanamadı.
Çinli Solucan, şirket ve hükümet kuruluşlarını hedef alıyor. Amerikan hükümet kuruluşları, halen ihtiyatı elden bırakmazken, virüsün ne derece etkili olduğu konusunda yorum yapmaktan kaçınıyorlar. Federal Soruşturma Bürosu (FBI), Beyaz Saray ve diğer kuruluş yetkilileri, “durumu izliyoruz” açıklamasıyla yetindiler.
Virüs yüzünden, ABD’de internet bağlantılarında yaygın olarak kesintiler ve sistemde yavaşlama gibi sıkıntılar yaşanıyor. Uzmanlar, virüsün yeni tasarlanmış versiyonlarının, bir kez daha programlanarak internet sitelerine saldırmasından endişe ederken, “tehlike henüz geçmedi” uyarısında bulunuyorlar. Virüsün etkili olduğu sayfada, kırmızı, büyük harflerle, “Çinliler tarafından kırıldı” (Hacked by Chinese) ibaresi yer alıyor.
Ücretsiz Tarama
İnfonet’den aldığımız bilgiye göre, bu solucan bir çok PC için minimal risk taşımasına rağmen, yapılması gereken önlemler şöyle sıralanıyor:
Trend Micro, bütün kullanıcıları PC’lerini HouseCall (http://housecall.antivirus.com ) virus tarama programı ile internet üzerinden ücretsiz olarak taramalarını öneriyor.
Microsoft Windows NT 4.0 veya Windows 2000 Web serverlarının sistem adminleri, Microsoft üzerinden MS01-033 yamasını geçmeleri gerekiyor.
Code Red Solucanı Nedir?
Bu solucan IIS (Internet Information Service) Web Serverlerdeki buffer overflow (hafıza tasma) açigini kullanarak uzaktan bağlanan kullanıcıya sistem seviyesinde haklar vererek network güvenliğini tehlikeye sokar. Bu solucaıin ikiye ayrılmış tetikleme günleri ve iki değişik davranış şekli vardır. Sistem tarihi 20 ve 28’i arasında ise solucan bir hükümet sayfasına (www.whitehouse.gov) denial of service attack (DDoS) ta bulunur. Eğer sistem tarihi 20’den düşük ise rastgele IP numaraları oluşturur ve bunları TCP 80 portu üzerinden gönderir.
Code Red Solucanın Etkileri Ne Olacak?
Solucan 19 Temmuz’da bir DDoS atagı yaptı. CNN’e göre bu atak white house’u hedef almıştı ve etkilenen web sayfasına ulaşım Pentagon tarafindan kesilmişti. Kullanıcılar etkilenmiş sayfalara girdiklerinde “Hacked by Chinese” mesajiyla karşılaşacaklar.
IIS ve Index Server’daki Açığa Sebep Olan Şey Nedir?
Açığın sebebi NT 4.0 Index Server daki ve windows 2000 deki Indexing Service in ISAPI uzantısındaki kontrol edilmemiş bir koddan kaynaklaniyor. Atak yapan kişi yada program webserver uzerindeki ISAPI uzantısına özel yapılandırılmış bir istekte bulunduğunda istediği kodun çalışmasını sağlayabiliyor.
Index Server ve Indexing Service Nedir?
Index Server 2.0 ve Indexing Service’leri text arama ve indexleme amacıyla kullanılmaktadır. Web server yada web sitesi üzerinde istediğiniz bir dosyayı arama özelliği bulunmaktadır. Bu da kullanıcıya aradığı dokumanı anahtar kelimelere yada özelliklerine göre bulma esnekliği sağlar. Index Server 2.0 NT ile değil Option Pack paketiyle gelmektedir. Indexing Service ise Windows 2000 le birlikte gelmektedir.
Bu Solucan Hakkında Kimler Endişelenmeli?
NT 4.0 üzerinde Option Pack ve Microsoft Windows 2000 Server kullanan web server adminleri, derhal microsoft sayfasından bu konuda çıkan yamaları geçmeleri gerekir. Son kullanıcı için herhangi bir tehlike söz konusu değildir (Windows 95/98/Me/2000 professional…)
Enfeksiyondan Korunmak İçin Ne Yapmam Gerekiyor?
Bu Konudaki İlan:
http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/security/bulletin/MS01-033.asp
adresinden okunabilir.
Yamalar ise: Windows NT 4.0 için:
http://www.microsoft.com/Downloads/Release.asp?
ReleaseID=30833
Windows 2000 İçin:
http://www.microsoft.com/Downloads/Release.asp?
ReleaseID=30800
Kaynak : 