Hyödynsi haavoittuvuuttaEdit
Mato käytti hyväkseen Microsoftin tietoturvatiedotteessa MS01-033 kuvattua haavoittuvuutta IIS:n mukana jaettavassa kasvavassa ohjelmistossa, jota varten oli ollut saatavilla korjaustiedosto kuukautta aiemmin.
Mato levisi käyttämällä yleistä haavoittuvuustyyppiä, jota kutsutaan nimellä puskurin ylivuoto. Se teki tämän käyttämällä pitkää, toistuvaa N-kirjainta sisältävää merkkijonoa puskurin ylivuotamiseksi, jolloin mato pystyi suorittamaan mielivaltaista koodia ja tartuttamaan koneen, jossa mato oli. Kenneth D. Eichman keksi ensimmäisenä, miten se voidaan estää, ja hänet kutsuttiin löytönsä vuoksi Valkoiseen taloon.
Madon hyötykuormaMuokkaa
Madon hyötykuormaan kuului:
- Tartunnan kohteena olleen verkkosivun turmeleminen siten, että se näytti:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Muuta toimintaa kuun päivän mukaan:
- Päivät 1-19: Yrittää levittää itseään etsimällä lisää IIS-palvelimia Internetistä.
- Päivät 20-27: Käynnistää palvelunestohyökkäyksiä useisiin kiinteisiin IP-osoitteisiin. Valkoisen talon verkkopalvelimen IP-osoite oli näiden joukossa.
- Päivät 28-loppukuusta: Nukkuu, ei aktiivisia hyökkäyksiä.
Hyökkäysalttiita koneita etsiessään mato ei testannut, oliko etäkoneessa käynnissä olevalla palvelimella käytössä haavoittuva IIS-versio, tai edes sitä, oliko IIS:ssä ylipäätään käytössä. Apachen käyttölokit tältä ajalta sisälsivät usein tällaisia merkintöjä:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Madon hyötykuorma on viimeisen N-kirjaimen jälkeinen merkkijono. Puskurin ylivuodon vuoksi haavoittuva isäntä tulkitsi tämän merkkijonon tietokoneen ohjeiksi ja levitti matoa.