കോഡ് റെഡ് വേമുകള്‍ Code Red Worms

 2001 ജൂണ്‍ പതിനെട്ടാം തീയതി eeye എന്ന വെബ് സൈറ്റ് മൈക്രൊസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍വറിലെ ദൌര്‍ബല്യങ്ങള്‍ വെളിപ്പെടുത്തുന്ന ഒരു ലേഖനം അവരുടെ സൈറ്റില്‍ പ്രസിദ്ധീകരിക്കുകയുണ്ടായി. ISAPI (Internet Server Application Program Interface) എന്ന ബഫര്‍ ഫില്‍റ്ററിംഗ് സംവിധാനത്തിലെ ഗുരുതരമായ സുരക്ഷാ പാളിച്ചകളെപറ്റിയുള്ളവാ‍യിരുന്നു ഇവ. ഇതു വഴി സിസ്റ്റത്തിനെ റിമോട്ടായി ആക്രമിക്കുവാന്‍ സാധിക്കും എന്നുള്ളതായിരുന്നു ഈ അര്‍ട്ടിക്കിളിലുണ്ടായിരുന്നത്.

ജൂലൈ 13, രണ്ടായിരത്തി ഒന്നിനാണ് കോഡ് റെഡ് വേമുകള്‍ ആദ്യമായി ഇന്റര്‍നെറ്റില്‍ പ്രത്യക്ഷപ്പെടുന്നത്. മണിക്കുറുകള്‍ കൊണ്ടു ഇവ ഇന്റര്‍നെറ്റിലെ മൈക്രോസോഫ്റ്റ് ഐ ഐ എസ് സെര്‍‌വറുകള്‍ ഉപയോഗിക്കുന്ന വെബ് സെര്‍വറുകളെ വിനാശകരമായ രീതിയില്‍ ബാധിച്ചു. സിസ്റ്റം ക്ലോക്കിലെ ഡേറ്റ് ഒന്നാം തീയതിക്കും പത്തൊമ്പതാം തീയതിക്കും ഇടയിലുള്ളവയാണെങ്കില്‍ ഇവ റാന്‍ഡം ആയി വെബ്സെര്‍വറുകളിലെ ഐ പി റേഞ്ചിലെ അഡ്രസുകള്‍ തനിയെ ജെനറേട് ചെയ്തു അവയുപയോഗിച്ചു മറ്റു വെബ് സെര്‍വറുകളെ ആക്രമിക്കുകയുമായിരുന്നു ചെയ്തത്. (ഇരുപതാം തീയതി ആക്രമണം അവസാനിക്കുന്ന രീതിയിലായിരുന്നു ഈ വേം പ്രോഗ്രാം ചെയ്തിരുന്നതു). ഇവയില്‍ നിന്നും വീണ്ടും ഐപി അഡ്രസുകളെ ലിസ്റ്റ് ചെയ്യുകയും പിന്നീട് അവയുപയോഗിച്ച് കൂടുതല്‍ വെബ് സെര്‍വറുകളെ അധീനതയില്‍ ആക്കുകയും ചെയ്തു. രണ്ടാമത്തെ കോഡ് റെഡ് വേമിന്റെ വകഭേദത്തെ അപേക്ഷിച്ചു ആദ്യത്തെ കോഡ് റെഡ് വേം വളരെകുറഞ്ഞ ഉപദ്രവമായിരുന്നു വെബ്സെര്‍വറുകള്‍ക്കു ഉണ്ടാക്കിയതു്. ഇവ വെബ് സെര്‍വറുകളെ റീബൂട്ട് ചെയ്യുകമാത്രമാണുണ്ടായതു്. എന്നാല്‍ റീബൂട്ട് ചെയ്യപ്പെട്ടതിനു ശേഷവും അവ കോഡ് റെഡ് വേമിനാല്‍ (CRv1) തുടരെ തുടരെ ഇന്‍ഫെക്റ്റ് ചെയ്യപ്പെടുകയുണ്ടായി. വളരെ ഉയര്‍ന്ന തലത്തിലുള്ള അപകടമായിരുന്നു കോഡ് റെഡ് വേമിന്റേതു്.



ഏകദേശംപന്ത്രണ്ടായിരത്തോളം വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ ( CRv1) ആക്രമണത്തിനിരയായതു്. GET എന്ന കമാന്റുപയോഗിച്ചു വെബ് സര്‍വറുകളുമായി ഒരു കണക്ഷന്‍ സ്ഥാപിക്കുകയും പിന്നീട് അവയെ ബഫര്‍ ഓവര്‍ഫ്ലോ എന്നറിയപ്പെടുന്ന ആക്രമണം വഴി അധീനതയിലാക്കുകയുമാണ് കോഡ് റെഡ് വേം ചെയ്തതു്. സിസ്റ്റം മെമ്മറിയില്‍ ഇന്‍‌ഫെക്റ്റ് ചെയ്യുന്ന കോഡിംഗ് രീതിയായിരുന്നു കോഡ് റെഡ് വേമില്‍ ( CRv1) ഉപയോഗിച്ചിരുന്നതു്. അതു കൊണ്ട് തന്നെ സിസ്റ്റത്തിന്റെ ഹാര്‍ഡ് ഡിസ്കില്‍ നിന്നും ഇതിന്റെ യാതൊരു ലക്ഷണവും കണ്ടെടുക്കാന്‍ സാധിച്ചിരുന്നില്ല ഒരേ സമയം കോഡ് റെഡിന്റെ തന്നെ ഏകദേശം 100 വേമുകളുടെ പകര്‍പ്പുകള്‍ ഉപയോഗിച്ച് ആക്രമിച്ച ഇവ ആദ്യം സിസ്റ്റം ക്ലോക്കിന്റെ സമയം പിന്നാക്കം മാറ്റുകയും പിന്നീട് അതിന്റെ പ്രവര്‍ത്തനം ആരംഭിക്കുകയും ചെയ്തു. ആദ്യം അധീനതയിലാക്കിയ വെബ് സെര്‍വറുകളിലെ ഐപി അഡ്രസുകള്‍ റാന്‍‌ഡം ആയി ഉപയോഗിച്ചു പോര്‍ട്ട് നമ്പര്‍ 80 വഴി മറ്റു വെബ്സെര്‍വറുകളിലേക്കു എച്ച് റ്റി റ്റി പി ഫ്ലഡ് എന്ന ആക്രമണ രീതിയായിരുന്നു അവലംബിച്ചിരുന്നതു്. ഇംഗ്ലീഷ് ഭാഷയിലുണ്ടായിരുന്ന വെബ് സെര്‍വറുകളായിരുന്നു കോഡ് റെഡ് വേമിന്റെ പ്രധാന ലക്ഷ്യം. തുടര്‍ന്ന് ഇവയുപയോഗിച്ച് www.whitehouse.gov എന്ന വെബ്സൈറ്റിനെ ആക്രമിക്കുകയുണ്ടായി. ഒരേ സമയം ഒരു ലക്ഷത്തോളം പാക്കറ്റുകളായിരുന്നു www.whitehouse.gov എന്ന വെബ്സൈറ്റിനു നേരെ കോഡ് റെഡ് വേം 1 പ്രയോഗിച്ചതു്. തുടര്‍ന്നു ഏകദേശം നാലര മണിക്കൂര്‍ നേരം ഈ വേം സ്ലീപ്പിംഗ് മോഡിലാകുകയും വീണ്ടും ആക്രമണം ആരംഭിക്കുകയും ചെയ്തു. നൂറോളം വേമുകള്‍ ഓരോ തവണയും മുകളില്‍ പറഞ്ഞ പാക്കറ്റുകള്‍ ഒരു സിസ്റ്റത്തില്‍ നിന്നു മാത്രം പ്രയോഗിച്ച് അതിനെ റിബൂട്ട് ചെയ്യുകയും തുടര്‍ന്നു www.whitehouse.gov നിന്നുള്ള സര്‍വീസ് തടഞ്ഞു. കൂടാതെ ഈ വെബ്സൈറ്റ് ഡീഫെയിസ് ചെയ്യപ്പെടുകയും ചെയ്തു.

കോഡ് റെഡ് വേമിന്‍റെ സോര്‍സ് കോഡ് ലഭിക്കാന്‍ ഈ വെബ്സൈറ്റ് സന്ദര്‍ശിക്കുകhttp://indianrenegade.blogspot.in/2007/02/code-red-worm-source-code.html