Ausgenutzte SchwachstelleBearbeiten
Der Wurm zeigte eine Schwachstelle in der mit IIS verteilten wachsenden Software, die im Microsoft Security Bulletin MS01-033 beschrieben wurde und für die einen Monat zuvor ein Patch zur Verfügung stand.
Der Wurm verbreitete sich über eine häufige Art von Schwachstelle, die als Pufferüberlauf bekannt ist. Dazu wurde eine lange Zeichenkette mit dem sich wiederholenden Buchstaben „N“ verwendet, um einen Pufferüberlauf zu erzeugen, der es dem Wurm ermöglichte, beliebigen Code auszuführen und den Rechner mit dem Wurm zu infizieren. Kenneth D. Eichman war der erste, der herausfand, wie man ihn blockieren kann, und wurde für seine Entdeckung ins Weiße Haus eingeladen.
Nutzlast des WurmsBearbeiten
Die Nutzlast des Wurms umfasste:
- Verunstaltung der betroffenen Website, um anzuzeigen:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Weitere Aktivitäten je nach Tag des Monats:
- Tage 1-19: Versuch, sich zu verbreiten, indem er nach weiteren IIS-Servern im Internet sucht.
- Tage 20-27: Start von Denial-of-Service-Angriffen auf mehrere feste IP-Adressen. Die IP-Adresse des Webservers des Weißen Hauses war unter diesen Adressen.
- Tage 28-Ende des Monats: Schläft, keine aktiven Angriffe.
Beim Scannen nach anfälligen Rechnern prüfte der Wurm nicht, ob der auf einem entfernten Rechner laufende Server eine anfällige Version von IIS ausführt oder ob er überhaupt IIS ausführt. Apache-Zugriffsprotokolle aus dieser Zeit enthielten häufig Einträge wie die folgenden:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Die Nutzlast des Wurms ist die Zeichenkette nach dem letzten „N“. Aufgrund eines Pufferüberlaufs interpretierte ein anfälliger Host diese Zeichenfolge als Computeranweisungen und verbreitete den Wurm.