Zneužíval zranitelnostEdit
Červ využíval zranitelnost v rostoucím softwaru distribuovaném se službou IIS, popsanou v bulletinu zabezpečení společnosti Microsoft MS01-033, pro kterou byla o měsíc dříve k dispozici záplata.
Červ se šířil pomocí běžného typu zranitelnosti známé jako přetečení bufferu. Toho dosáhl tak, že pomocí dlouhého řetězce opakujícího se písmene „N“ přetekl buffer, což červu umožnilo spustit libovolný kód a infikovat počítač červem. Kenneth D. Eichman byl první, kdo objevil způsob, jak jej zablokovat, a za svůj objev byl pozván do Bílého domu.
Náplň červaUpravit
Náplň červa zahrnovala:
- Znehodnocení postižené webové stránky tak, aby zobrazovala:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Další aktivity v závislosti na dni v měsíci:
- Dny 1 až 19: Snaží se šířit vyhledáváním dalších serverů IIS na internetu.
- Dny 20-27: Zahájení útoků typu odepření služby na několik pevných IP adres. Mezi nimi byla i IP adresa webového serveru Bílého domu.
- Dny 28-konec měsíce: Spí, žádné aktivní útoky.
Při vyhledávání zranitelných počítačů červ netestoval, zda na serveru běžícím na vzdáleném počítači běží zranitelná verze IIS, nebo dokonce zda na něm vůbec běží IIS. Přístupové protokoly Apache z této doby často obsahovaly záznamy, jako jsou tyto:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Nákladem červa je řetězec následující za posledním písmenem ‚N‘. Kvůli přetečení vyrovnávací paměti interpretoval zranitelný hostitel tento řetězec jako počítačové instrukce, čímž došlo k šíření červa.