Udnyttede sårbarhedRediger
Vormen viste en sårbarhed i den voksende software, der distribueres sammen med IIS, beskrevet i Microsoft Security Bulletin MS01-033, som der var en patch til en måned tidligere.
Vormen spredte sig selv ved hjælp af en almindelig type sårbarhed kendt som et bufferoverløb. Den gjorde dette ved at bruge en lang streng med det gentagne bogstav “N” til at overløbe en buffer, hvilket gjorde det muligt for ormen at udføre vilkårlig kode og inficere maskinen med ormen. Kenneth D. Eichman var den første til at opdage, hvordan den kunne blokeres, og blev inviteret til Det Hvide Hus for sin opdagelse.
Ormens nyttelastRediger
Nyttelasten i ormen omfattede:
- Defacing af det berørte websted for at vise:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Andre aktiviteter baseret på månedens dag:
- Dagene 1-19: Forsøger at sprede sig ved at søge efter flere IIS-servere på internettet.
- Dage 20-27: Lancerer denial of service-angreb på flere faste IP-adresser. IP-adressen på webserveren for Det Hvide Hus var blandt disse.
- Dage 28-ende af måneden: Sover, ingen aktive angreb.
Når ormen scannede efter sårbare maskiner, testede den ikke, om den server, der kørte på en fjernmaskine, kørte en sårbar version af IIS, og den testede heller ikke, om den overhovedet kørte IIS. Apache-adgangslogfiler fra denne tid havde ofte poster som disse:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Vormens nyttelast er strengen efter det sidste “N”. På grund af et bufferoverløb fortolkede en sårbar vært denne streng som computerinstruktioner, hvorved ormen blev spredt.