История сетевого червя Code Red, вызвавшего на прошлой неделе стараниями ФБР, Microsoft и ленивых системных администраторов настоящую панику, получила продолжение. В понедельник в Интернете появились сведения о Code Red II - клоне первого червя, использующем тот же механизм распространения, но намного более опасном.
Как известно, Code Red распространяется по Сети, используя ошибку в веб-сервере Microsoft IIS, работающем под Windows 2000. Несмотря на огромную скорость распространения, червь практически безвреден, если не считать серьезным ущербом периодические DoS-атаки на сервер Белого дома и временную подмену содержимого главной страницы зараженных серверов. Перегрузку машины Code Red не переживает, а от заражения можно предохраниться, скачав с сервера Microsoft бесплатную программу-заплатку.
В отличие от своего предшественника, вновь обнаруженный Code Red II распространяется быстрее, а, попав на компьютер, пытается полностью перехватить управление. Как установили специалисты компании EEye Digital Security, одними из первых обнаружившие еще первого червя, CRII содержит в себе троянскую программу. Она копирует в общедоступную папку файл командного процессора CMD.EXE, что позволяет удаленному пользователю получить полный контроль над сервером, а также изменяет файл EXPLORER.EXE таким образом, что диски C: и D: зараженного компьютера тоже становятся общедоступными. Причем эти модификации сохраняются и после перезагрузки.
Как и в первом случае, происхождение червя неизвестно. Некоторые косвенные признаки указывают на то, что у этих программ разные авторы: в коде второго червя содержится строка "CodeRedII", тогда как первый никак себя не идентифицировал, а название Code Red было придумано специалистами, занимавшимися его исследованием.
По данным NewsBytes, несмотря на шум, поднятый после распространения первого червя, и легкость исправления ошибки, многие системы остались незащищенными, и CodeRedII остается серьезной угрозой. В то же время российский лидер в борьбе с вирусами "Лаборатория Касперского" полагает, что паника поднята напрасно и только отвлекает пользователей от другого, намного более опасного вируса SirCam, продолжающего распространяться по пользовательским машинам и воровать файлы.