Exploitation d’une vulnérabilitéEdit
Le ver a montré une vulnérabilité dans le logiciel de croissance distribué avec IIS, décrit dans le bulletin de sécurité de Microsoft MS01-033, pour lequel un correctif avait été disponible un mois plus tôt.
Le ver s’est propagé en utilisant un type commun de vulnérabilité connu sous le nom de dépassement de tampon. Pour ce faire, il utilisait une longue chaîne de la lettre ‘N’ répétée pour faire déborder un tampon, ce qui permettait au ver d’exécuter un code arbitraire et d’infecter la machine avec le ver. Kenneth D. Eichman a été le premier à découvrir comment le bloquer et a été invité à la Maison Blanche pour sa découverte.
Charge utile du verEdit
La charge utile du ver comprenait :
- Défiguration du site Web affecté pour afficher :
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Autres activités basées sur le jour du mois :
- Jours 1-19 : Essayer de se propager en recherchant d’autres serveurs IIS sur Internet.
- Jours 20-27 : Lancer des attaques par déni de service sur plusieurs adresses IP fixes. L’adresse IP du serveur web de la Maison Blanche était parmi celles-ci.
- Jours 28-fin du mois : Sommeil, aucune attaque active.
Lors de l’analyse des machines vulnérables, le ver ne testait pas pour voir si le serveur fonctionnant sur une machine distante exécutait une version vulnérable d’IIS, ou même pour voir s’il exécutait IIS tout court. Les journaux d’accès Apache de cette époque contenaient fréquemment des entrées telles que celles-ci :
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
La charge utile du ver est la chaîne de caractères qui suit le dernier ‘N’. En raison d’un débordement de tampon, un hôte vulnérable a interprété cette chaîne comme des instructions informatiques, propageant ainsi le ver.