RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-25072001

Worm "Red Code" - Update

[CAIS, 25.07.2001, revisão 01]


Foi detectada a existência de uma nova variante do Worm Red Code. Em se tratando de Worms e Virus, esta é uma prática bastante freqüente: novas variantes são lançadas na rede para tentar se aproveitar de sistemas ainda não corrigidos.

As máquinas que já foram corrigidas estão protegidas contra esta variante.

Regras do Snort

Para esta nova versao já existe uma regra do Snort que detecta sua atividade, a seguir:

alert tcp any any -> any 80 (msg: "CodeRed 3 IDA Overflow"; dsize: >239; flags: A+; content:"|2F782e69 64613f41 41414141|"; depth:64;)

Pela regra podemos identificar que, na verdade, esta nova versão seria a terceira da série. O Red Code teve uma versão inicial que procurava máquinas em um determinado range de IPs. Na segunda versão foi otimizado o algoritmo de aleatoriedade do mecanismo de busca de endereços IP. Foi esta mudança de comportamento que permitiu um avanço maior do Worm.

Ferramentas

Uma ferramenta para retirar o Red Code de uma máquina infectada pode ser encontrada em:

http://www.symantec.com/security_response/writeup.jsp?docid=2001-071911-5755-99

Assim também, foi disponibilizada pela www.eeye.com uma ferramenta que varre um determinado range de IPs, a procura por máquinas infectadas pelo Worm:

http://research.eeye.com/html/tools/index.html

O CAIS alerta sobre os cuidados que devem ser tomados ao utilizar-se qualquer ferramenta de "scanning", para que sua atividade não afete outras redes. Lembra-se que, em alguns casos, pode ser necessária autorização para a utilização de determinadas ferramentas de seguranca.

Por último, o alerta inicial, enviado pelo CAIS em 19/jul/2001, no qual é detalhado o funcionamento deste Worm, bem como os métodos para identificação e proteção contra o mesmo, pode ser encontrado em:

http://www.rnp.br/cais/alertas/2001/cais-ALR-19072001.html



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303