Продолжение эпопеи с вирусом Code Red
( 2001-08-08 )

Начиная с 13:00 сегодня, 7 августа, мы блокировали проникновение
вируса в нашу сеть и из неё.

Сейчас мы применяем метод NBAR (Network Based Application Recognition)
для борьбы с трафиком, порождаемым работающими копиями вируса.
Остальным видам трафика помех не создаётся.

Анализ блокированного трафика позволяет нам утверждать, что
активность вируса в Интернете ещё достаточно высока (усреднённая за
13:30--15:00 интенсивность запросов в нашу сеть извне --- 2 пакета в
секунду). Для серверов IIS, остающихся уязвимыми, угроза заражения
вполне реальна.

Описание метода тут (очень
подробно).

Строго говоря, проблема решена не полностью --- фильтры стоят внешнем линке,
так что машины внутри нашей сети теоретически могут
заражать друг друга, а последняя модификация вируса при генерации
случайного IP-адреса с большей, чем у предыдущих "версий",
вероятностью, попадает именно на локальные адреса (192.*.*.*). Клиенты работающие
по комутируемым линиям защищены c понедельника от атак этого вируса снаружи простым
acl.