RedCode.IIS.2
PeligrosidadDañoPropagación

Efectos 

Los efectos de RedCode son:

• Se propaga a través de redes de ordenadores hasta el mes de octubre del año 2001. Posteriormente, reinicia el ordenador afectado.
• Crea numerosos hilos de ejecución en memoria, que se comportan como copias del propio gusano. En el caso de los ordenadores con el sistema operativo en chino, RedCode crea 600 hilos de ejecución.
• En los demás casos, crea únicamente 300.
• Reinicia los ordenadores afectados cierto tiempo después de producirse la infección. Este periodo de tiempo será de 48 horas en ordenadores con el sistema operativo en chino, o de 24 horas en ordenadores con el sistema operativo en otros idiomas.

Metodo de Infección 

RedCode crea el siguiente fichero:

• Crea un fichero con características de troyano: EXPLORER.EXE. Este fichero crea dos unidades virtuales a través de las cuales se podrá acceder al equipo afectado.

Una vez en el ordenador afectado, RedCode sigue el patrón de infección detallado a continuación:

• Busca una copia válida del módulo KERNEL32.DLL en la memoria principal del equipo donde se está ejecutando.
• Dentro de dicha copia, busca la función GetProcAddress. Así, Redcode localiza información de la red del ordenador en el que se ejecuta utilizando las funciones gethostname y gethostbyname. Y localiza el resto de funciones que necesita utilizar: LoadLibraryA,GetSystemTime, CreateThread, CreateFileA, Sleep, GetSystemDefaultLangID, Socket, Connect, Send, Recv, CloseSocket, GetTickCount, GetSystemDirectory, CopyFileA, GlobalFindAtomA, GlobalAddAtomA, CloseHandle, _Icreate, _Iclose, ioctlsocket, select, gethostname, gethostbyname, WSAGetLastError y ExitWindowsEx.

RedCode modifica las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ W3SVC\ Parameters\ Virtual Roots/ Scripts = %rootdir%\ inetpub\ scripts,,204
  /MSADC = %rootdir%\ program files\ common files\ system\ msadc,,205
  /C = C:\,,217
  /D = D:\,,217
  Con esta modificación, se permite a otros usuarios obtener el acceso completo al servidor Web afectado.

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\  SFCDisable
  Redcode modifica esta entrada del Registro de Windows asignándole el valor: 0xFFFFFF9D. De este modo, ReCode consigue desactivar el Comprobador de Archivos de Sistema (SFC).

Método de Propagación 

RedCode se propaga a través de redes, aprovechándose de una vulnerabilidad existente en los servidores Index Server 2.0, Indexing Service e IIS 4.0 y 5.0. Ésta consiste en un desbordamiento del búfer (pila), que permite la ejecución de RedCode.

Recode se propaga siguiendo el proceso detallado a continuación:

• Se envía sí mismo a través de conexiones del tipo TCP/IP, simulando ser una petición HTTP con formato de cadena de texto ASCII.
• La petición es enviada al puerto 80 del equipo atacado (puerto por defecto para el protocolo HTTP).
• El envío de la cadena de texto ASCII produce un desbordamiento del búfer (pila) que permite la ejecución de Redcode.

La cadena de texto que produce el mencionado desbordamiento se compone de los siguientes elementos:

• Cabecera para realizar una petición (mediante el método GET del protocolo HTTP).
• Exploit: Cadena de caracteres capaz de producir el desbordamiento de la pila.
• Instrucciones de acceso a la pila para conseguir que Redcode tome el control tras el desbordamiento de ésta.
• Código del gusano, codificado en binario.

Por otra parte, para encontrar otros equipos a los que infectar, Redcode genera máscaras y direcciones IP. Cuatro de estas direcciones se encuentran dentro de la red de clase A, tres de ellas están en la red de clase B y otra se genera de manera totalmente aleatoria.