Alias: I-Worm.Bady, CodeRed, Bady, CodeRed.v3 (NAV), W32/CodeRed.c
Variantes: CodeRedII

Conocido también como Bady, este gusano fue detectado originalmente en Julio de 2001.

Se trata de un virus que afecta a Windows NT y Windows 2000 e inaugura una nueva generación de gusanos "Fileless" (infectan sin attachment).

Se propaga utilizando la vulnerabilidad existente en los servidores Internet Information Server (IIS).

Cuando infecta un servidor el gusano intenta localizar otros servidores afectados por esta vulnerabilidad y realiza un ataque de denegación de servicio (Denial-of-Service (DoS) ) en este caso contra la web de la Casa Blanca www1.whitehouse.gov y finalmente suspende toda actividad.

Tiene un ciclo mensual. La zona horaria es GMT.

Fase de infección: del día 1 al día 19 - 23:59h

Fase de distribución (DoS) día 20 desde las 00:00h hasta las 23:59h del mismo día

Fase de Letargo Eterno: desde el día 21 00:00h

El gusano comienza de nuevo la fase de infección a media noche del 31 de cada mes, si hay servidores infectados en internet con la fecha incorrecta puede causar que estén siendo ya escaneados buscando host vulnerables.

El gusano puede cambiar la front page de un servidor infectado mostrándose de la siguiente manera:

Welcome to http://www.worm.com!

Una nueva variante de Code Red se ha estado expandiendo "in the wild" desde el 4 de Agosto de 2001. Afecta a servidores IIS de Microsoft.

CodeRed II es una versión reescrita del original Code Red. Utiliza la misma vulnerabilidad en los servidores MS Index Server 2.0, MS Indexing Service, o MS IIS, consistente en un desbordamiento del búfer, que permite la ejecución del código del gusano. Este gusano ha sido diseñado para propagarse de forma más agresiva sobretodo en China.

La característica más importante de Code Red II es que instala un backdoor dentro de los sistemas que infecta.

Copia el archivo cmd.exe (línea de comandos de Windows NT/2000) en el directorio "scripts" del servidor web con el nombre root.exe. Como resultado cualquier visitante de web puede ahora ejecutar los comandos en cualquier área web infectada sólo con tipear los comandos adecuados URLs para localizar la Web.

A continuación se detalla la lista de comandos que se ejecutan:

Directorio c:\inetpub:

06.08.2001 12:36 <DIR> *

06.08.2001 12:36 <DIR> **

06.08.2001 12:31 <DIR> AdminsScripts

06.08.2001 12:35 <DIR> ftproot

06.08.2001 12:32 <DIR> iissamples

06.08.2001 12:35 <DIR> mailroot

06.08.2001 13:02 <DIR> scripts

06.08.2001 12:35 <DIR> webpub

06.08.2001 13:03 <DIR> wwwroot

0 File(S) 0 bytes

9 Dir (s) 26 521 600 bytes free

Cuando un host es infectado el gusano comienza a escanear buscando otros host para infectarlos. Prueba aleatoriamente direcciones IP.

Si el sistema infectado tiene como lenguaje del sistema el chino el gusano comienza un escaneo más agresivo (600 hilos en vez de 300). El escaneo comienza 24 horas después de la infección (48 horas para los Pcs chinos) después reiniciará el equipo. Existe un tiempo limite en su código que detendrá al gusano el primero de Octubre. Durante este tiempo el gusano rebooteara el Pc y detendrá su propagación. El programa troyano instalado permanecerá dentro del sistema.

El gusano instala un programa troyano en explorer.exe de aproximadamente 8192 BYTES (7k) que modifica diferentes settings IIS para permitir un ataque remoto de los host infectados. El comando estándar interpreter cmd.exe es copiado en el inetpub\scripts\root.exe y en \program¸1\system\MSADC\root.exe. El gusano copia estos archivos en los directorios raíz de las unidades C: y D: si existen. Estas copias del archivo cmd.exe permite a cualquier atacante ejecutar los comandos en el sistema remoto fácilmente.

La parte troyana del código primeramente deshabilita la funcionalidad del SYSTEM FILE CHECKER (SFC) de Windows. SFC es responsable de chequear la integridad de los archivos del sistema. Dos nuevos directorios raíz se añaden a la configuración de IIS: "/c" que apunta al directorio "C:|" y "d/" que apunta a "D:\". Los cuales tendrán acceso de lectura, escritura y ejecución. El gusano se asegura de que incluso si las copias del archivo cmd.exe son eliminadas el sistema puede todavía estar infectado.

Realiza las siguientes modificaciones de registro:
'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable'
 is set to 0xffffff9d que deshabilita  el System File Checker.

 ',217' es añadido a estas claves:
 'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\Scripts'
 'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\MSADC'

 Estas claves hacen a las unidades 'C:' and 'D:' accesibles a través de los servidores web:
 'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C'
 'SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C'