Подобно Code Red, Blue Code поражает IIS-серверы, однако для проникновения на них он использует другую "брешь" в системе безопасности этой платформы - Web Directory Traversal, которая была обнаружена в октябре прошлого года. Внедрение на целевой сервер происходит таким образом, что сначала "червь" получает доступ к его жесткому диску, загружает туда свой файл-носитель с ранее зараженного компьютера и затем запускает его. Файл - носитель "червя" создает в корневой директории диска C несколько служебных файлов: SVCHOST.EXE, HTTPEXT.DLL и D.VBS. Имена первых двух файлов являются зарезервированными и принадлежат стандартным программам из поставки Windows 2000/NT. Таким образом, Blue Code пытается скрыть свое присутствие в системе. Вредоносный файл SVCHOST.EXE регистрируется в разделе автоматической загрузки системного реестра Windows, так что "червь" будет активизироваться после каждой загрузки компьютера. Кроме того, Blue Code изменяет обработку специализированных HTTP-запросов c целью нейтрализации возможных попыток проникновения на сервер "червя" Code Red, освобождая ресурсы компьютера для своих нужд. Для своего дальнейшего распространения "червь" инициирует 100 активных процессов сканирования IP-адресов и пытается внедрить свою копию по описанному выше сценарию на найденные удаленные компьютеры. Такое обилие дополнительных процессов может существенно снизить производительность зараженного IIS-сервера. Blue Code также имеет неприятное побочное действие: с 10 до 11 утра по Гринвичу он проводит с зараженных компьютеров DoS-атаку (Denial of Service) на сервер www.nsfocus.com. Процедуры защиты от Blue Code включены в ежедневное обновление "Антивируса Касперского".

Поделитесь материалом с коллегами и друзьями