19 września 2001

IIS-Worm.CodeGreen - walczy z robakiem "CodeRed"

Jest to robak internetowy atakujący strony WWW działające pod kontrolą serwerów IIS (Internet Information Server). Wirus działa podobnie do robaka "CodeRed" - wysyła do zdalnych maszyn własny kod i uruchamia go.

Główną funkcją robaka jest "leczenie" atakowanego komputera. Po uruchomieniu się szkodnik wykonuje dwie procedury:

  • usuwa wszelkie ślady robaka "CodeRed" i wyświetla wiadomość (patrz poniżej),
  • pobiera i instaluje łatę udostępnioną przez firmę Microsoft, co uniemożliwia wniknięcie do systemu robaków infekujących poprzez przepełnienie bufora.

Wiadomość wyświetlana przez robaka wygląda następująco:

Des HexXer's CodeGreen V1.0 beta

CodeGreen has entered your system
it tried to patch your system and
to remove CodeRedII's backdoors

You may uninstall the patch via
SystemPanel/Sofware: Windows 2000 Hotfix [Q300972]

get details at "www.microsoft.com".
visit "www.buha-security.de"