Angrepet forventes å vare i ti dager, og den amerikanske regjeringen var godt forberedt. Ved å omdirigere legale brukere fra IP-adressen 198.137.240.91 til 198.137.240.92 ser de ut som de har lurt angriperen så langt.
Mens ormen fortsatte å hamre løs på den første IP-adressen, fungerte alt som normalt på den nye, der bare oppkall uten Red Alert-ormens signatur slapp inn.
Ormen sendte heller ikke så mange falske oppkall som man hadde ventet.
«Code Red», hvis fulle navn er IIS.Codered.worm, gjør Microsoft-baserte ISS (Internet Information System) webservere til saktegående zombier.
Annonse
Microsoft selv skal ha blitt angrepet i går, nærmere bestemt Windows Update-tjeneste.
Fra Kina
Påfallende mange slike angrep mot vitale selskaper og institusjoner i USA kommer nå fra Kina. Forholdet mellom de to landene har lenge vært kjølig, og nådde en bunnivå da kineserne holdt tilbake et amerikansk militærfly på kinesisk territorium 1. april.
På nettsteder som er angrepet vises meldingen «Welcome to http:// www.worm.com! Hacked By Chinese» på index-siden.
Datapakke
Ormen sender en 100 kilobyte datapakke til port 80 på serverne den angriper. Port 80 brukes av webservere til å ta i mot forespørsler utenfra.
Det kan være vanskelig å stoppe pakken, siden man ikke på forhånd kan vite hvilken kilde den kommer fra. IT-administrasjonen i Det Hvite Hus klarte likevel å stoppe den ved å legge ut et søk på virusets bit-signatur.
Sovende orm
Code Red er programmert slik at den legger seg til å sove i fire timer etter at det første angrepet er gjennomført, for så å våkne igjen.
36 000 angrepet
I følge SANS ((System Administration, Networking, and Security)-instituttet er hittil 36 000 IIS-server rammet av ormen. Anslaget baserer seg på at det inntil i går var registrert suspekte oppkall til port 80 på deres egne systemer fra 35 983 unike servere.
Microsoft har lagt ut en patch som er ment å fjerne og beskytte mot Red Alert, men sikkerhetsfolk IT-avisen har vært i kontakt med mener at denne ikke er helt oppdatert.
Annonse
