fue-descubierto-el-gunsano-code-red

Code Red

Los gusanos informáticos son considerados entre los códigos maliciosos con mayor peligrosidad, ya que como característica principal tienen la capacidad de propagarse por sí mismos; es decir, una vez que uno de estos códigos es liberado no requiere de la intervención humana nuevamente para seguir replicándose en otros equipos de cómputo.

El 13 de julio de 2001, fue descubierto y reportado el malware “Code Red”, creado por Marc Maiffret y Ryan Permeh y nombrado así porque “Code Red Mountain Dew” era lo que estaban bebiendo en ese momento.

Aunque el gusano fue reportado el 13 de julio, su mayor alcance fue el 19 de julio, en este día el número de servidores infectados ascendió a cerca de 359.000. Fue el primer ataque mixto a gran escala exitoso que apuntó a redes empresariales.

Atacaba las plataformas Windows NT o 2000 en las que se ejecutaba IIS de Microsoft creando una réplica del sistema.

Luego atacaba el archivo IDQ.DLL. Para activar un encadenamiento de caracteres repetidos “n” veces hasta conseguir ejecutar un código propio e infectar el ordenador víctima. Este virus era conocido por residir en la memoria del sistema lo cual era imposible de detectar por los antivirus de la época.

Cuando el gusano lograba infectar, incluía un aviso que indicaba que la máquina fue infectada:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese! 🙂

Al acceder Code Red a una computadora vulnerable, examina la existencia del archivo C:\NOTWORM, creado por el mismo gusano para identificar si el equipo ya estaba infectado. En caso de no existir, el gusano seguía con la infección, de lo contrario, permanecía esperando la propagación por la red.

El gusano creaba 100 threads simultáneos, lo que provocaba que el servidor colapsara y tuviera que ser reiniciado.

En caso de que la fecha del servidor estuviera entre el 20 y 28, el gusano intentaba un ataque de denegación de servicio a la dirección www.whitehouse.gov, mediante el envío de una gran cantidad de datos basura al puerto 80 y así colapsar los canales de comunicación.

En caso de que la fecha fuera después del día 28, los diferentes threads creados en la primera etapa de infección, quedaban en bucle infinito, causando inestabilidad y caída del servidor.

Se estima que afectó a más de un millón de servidores web del mundo incluyendo la Casa Blanca, además generó pérdidas estimadas en miles de millones de dólares.