Symantec waarschuwt voor een nieuwe, derde variant van de worm ‘Code Red’, die Code Red.v3, Code Red III of W32.Bady.C wordt genoemd. Het Symantec AntiVirus Research Center (SARC) kwalificeert deze derde variant van ‘Code Red’ als een ‘high risk virus’ (4 op een schaal van 5). Code Red.v3 is een zichzelf verspreidend virus dat, in afwijking van eerdere varianten, systeem-settings verandert en een Trojan Horse-versie van Windows File Explorer installeert en activeert. Hiermee wordt de besmette computer als ’t ware opengesteld voor toegang van onbekenden op afstand en kan toegang worden gekregen tot gegevens en bestanden die ook kunnen worden gestolen. Het Code Red.v3 worm-virus is gericht op de besturingssystemen Windows NT en Windows 2000 die Microsoft Internet Information Server (IIS) draaien. Zoals ook het originele ‘Code Red’ worm gebruikt deze derde variant een software bug (buffer overflow) in de Microsoft Index Server om zich naar andere servers te kunnen verspreiden. Eén van de gevolgen van een besmetting is dat de website die op een besmette server wordt gehost, door Code Red anders dan bedoeld wordt weergegeven. De bestaande patch van Microsoft beschermt ook tegen deze nieuwe vorm van Code Red.
Vakantie
Probleem is dat vele systeembeheerders omwille van de vakantie of misschien gewoon uit luiheid de patch niet hebben geïnstalleerd. Oude en nieuwe varianten van Code Red doen daarom nog steeds de ronde en veroorzaken heel wat onnodig netwerkverkeer, naast potentiële nieuwe besmettingen van andere systemen waarop de patch niet is geïnstalleerd. De Belgische ISP Telenet ondervindt momenteel op het eigen kabelnetwerk problemen van servers die zijn geïnfecteerd met Code Red. Het gaat in totaal om minstens 114 verschillende servers. De helpdesk is volop bezig met de beheerders van deze servers te contacteren en te vragen de patch te installeren. Telenet schermt de TCP-poorten tot 1024 alleen maar af naar externe netwerken. Binnen het eigen kabelnetwerk kunnen Telenet-klanten servers draaien. De besmetting kan dus in principe niet buiten het netwerk van Telenet worden overgedragen. Mercury Interactive laat ondertussen weten dat het gratis “eender welke ondernemingsinternetinfrastructuur” wil testen op kwetsbaarheid voor internetwormen zoals Code Red.