09.09.2001 История с Code Red продолжается - новый IIS червь Code Blue

Украинский Антивирусный Центр уведомляет пользователей о появлении очередной вредоносной программы - интернет червя Code Blue. Первые сообщения об угрозе эпидемии уже поступили с Китая где, по предположения экспертов, он и был создан в одном из университетов на базе анализа кода интернет червя Code Red. Но данная модификация червя обладает большим потенциалом для нанесения ущерба пользователям Windows NT и Windows 2000. Code Blue постепенно увеличивает использование ресурсов, тем самым блокируя нормальную работу системы.

После инсталляции в систему вирус, как и его аналог Code Red, производит DoS-атаку (Denial of Service) на сервер http://www.nsfocus.com.

 
=============================================== 
IP address (211.99.196.135) associated with the 
Web site of a Chinese network security provider, 
NSFocus Information Technology. 
=============================================== 

Как и его аналог, Blue Code поражает IIS-сервера, однако для проникновения на них он использует другую брешь в системе безопасности этой платформы - Web Directory Traversal.

Файл-носитель червя создает в корневой директории три файла: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. SVCHOST.EXE вносится в раздел автозагрузки в системном реестре Windows и активизируется при каждом запуске системы. D.VBS обеспечивает удаление из памяти активных копий червя Code Red и создание защиты от него.

Для своего дальнейшего распространения червь инициирует 100 активных процессов сканирования IP-адресов и делает попытку внедрить свои копии на найденные удаленные компьютеры.