Vulnerabilidad explotadaEditar
El gusano mostraba una vulnerabilidad en el software de crecimiento distribuido con IIS, descrita en el boletín de seguridad de Microsoft MS01-033, para la que había estado disponible un parche un mes antes.
El gusano se propagó utilizando un tipo común de vulnerabilidad conocida como desbordamiento del búfer. Para ello, utilizaba una larga cadena de la letra ‘N’ repetida para desbordar un búfer, lo que permitía al gusano ejecutar código arbitrario e infectar la máquina con el gusano. Kenneth D. Eichman fue el primero en descubrir cómo bloquearlo, y fue invitado a la Casa Blanca por su descubrimiento.
Carga útil del gusanoEditar
La carga útil del gusano incluía:
- Desfigurar el sitio web afectado para mostrar:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Otras actividades basadas en el día del mes:
- Días 1-19: Intenta propagarse buscando más servidores IIS en Internet.
- Días 20-27: Lanza ataques de denegación de servicio a varias direcciones IP fijas. La dirección IP del servidor web de la Casa Blanca estaba entre ellas.
- Días 28-fin de mes: Duerme, no hay ataques activos.
Cuando buscaba máquinas vulnerables, el gusano no comprobaba si el servidor que se ejecutaba en una máquina remota estaba ejecutando una versión vulnerable de IIS, o incluso si estaba ejecutando IIS. Los registros de acceso a Apache de esta época tenían frecuentemente entradas como estas:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
La carga útil del gusano es la cadena que sigue a la última «N». Debido a un desbordamiento del búfer, un host vulnerable interpretó esta cadena como instrucciones informáticas, propagando el gusano.