Alcuni produttori di software antivirus segnalano l’intensa diffusione di una nuova variante minore del virus CodeRed II. Questa specie, denominata CodeRed.F (e anche CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32.CodeRed), differisce per soli due …
Alcuni produttori di software antivirus segnalano l’intensa diffusione di una nuova variante minore del virus CodeRed II.
Questa specie, denominata CodeRed.F (e anche CodeRed.v3, CodeRed.C, CodeRed III, W32.Bady.C, W32.CodeRed), differisce per soli due bytes dalla versione originale. Colpisce i sistemi che utilizzano Microsoft IIS ma, mentre la versione originale riavviava il sistema se l’anno era successivo al 2001, questa volta ciò non si verifica.
Gli antivirus aggiornati dovrebbero riconoscere il virus Codered.F come un Worm di tipo CodeRed, se collocato internamente ad un file. Il Worm, una volta entrato in azione, installa nel sistema un troiano di tipo VirtualRoot.
CodeRed.F esamina gli indirizzi IP, generando 300 thread di ricerca, alla ricerca di sistemi server Web utilizzanti Microsoft IIS versione 4.0 o 5.0 e usa una ormai nota vulnerabilità di tipo “buffer overflow” per infettare computer remoti. Il virus si colloca direttamente in memoria senza scriversi sui dischi di sistema. La funzione del troiano VirtualRoot consente ad hacker di prendere il controllo completo da remoto del sistema infettato.
Sintomi classici della presenza di CodeRed.F è che rimane in stato dormiente per 24 ore, per poi riavviare il computer. Alla nuova esecuzione di Windows, entra in azione il troiano VirtualRoot quando si tenta di eseguire Esplora Risorse (Explorer.exe).
Microsoft ha rilasciato da tempo varie patch di aggiornamento che correggono i problemi di sicurezza sfruttati dai virus della famiglia CodeRed. Applicando queste correzioni, i virus della famiglia CodeRed non possono in alcun modo infettare il sistema.
