Sfruttò una vulnerabilitàEdit
Il worm mostrò una vulnerabilità nel software di crescita distribuito con IIS, descritto nel Microsoft Security Bulletin MS01-033, per il quale una patch era stata resa disponibile un mese prima.
Il worm si diffuse utilizzando un comune tipo di vulnerabilità nota come buffer overflow. Ha fatto questo utilizzando una lunga stringa della lettera ‘N’ ripetuta per far traboccare un buffer, permettendo al worm di eseguire codice arbitrario e infettare la macchina con il worm. Kenneth D. Eichman fu il primo a scoprire come bloccarlo, e fu invitato alla Casa Bianca per la sua scoperta.
Payload del wormModifica
Il payload del worm includeva:
- Defacing del sito web colpito per visualizzare:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Altre attività basate sul giorno del mese:
- Giorni 1-19: Cerca di diffondersi cercando altri server IIS su Internet.
- Giorni 20-27: Lancia attacchi denial of service su diversi indirizzi IP fissi. L’indirizzo IP del server web della Casa Bianca era tra quelli.
- Giorni 28-fine mese: Sleeps, nessun attacco attivo.
Quando scansionava le macchine vulnerabili, il worm non testava per vedere se il server in esecuzione su una macchina remota stava eseguendo una versione vulnerabile di IIS, o anche per vedere se stava eseguendo IIS del tutto. I log di accesso ad Apache di questo periodo avevano spesso voci come queste:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Il payload del worm è la stringa che segue l’ultima ‘N’. A causa di un buffer overflow, un host vulnerabile ha interpretato questa stringa come istruzioni del computer, propagando il worm.