Kihasznált sebezhetőségSzerkesztés
A féreg az IIS-szel együtt terjesztett, növekvő szoftverben lévő sebezhetőséget használta ki, amelyet a Microsoft MS01-033-as biztonsági közleménye ismertetett, és amelyre egy hónappal korábban már elérhető volt egy javítás.
A féreg a puffer túlcsordulásként ismert sebezhetőség egy gyakori típusát használva terjedt. Ezt úgy érte el, hogy egy hosszú, ismétlődő “N” betűs karakterláncot használt egy puffer túlcsordulásához, ami lehetővé tette a féreg számára, hogy tetszőleges kódot hajtson végre, és megfertőzze a gépet a féreggel. Kenneth D. Eichman volt az első, aki felfedezte, hogyan lehet blokkolni, és felfedezéséért meghívást kapott a Fehér Házba.
A féreg hasznos terheléseSzerkesztés
A féreg hasznos terhelése a következőket tartalmazta:
- Az érintett weboldal elrontása, hogy megjelenjen:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- A hónap napja alapján egyéb tevékenységek:
- 1-19. napok: Megpróbál terjedni azáltal, hogy több IIS-kiszolgálót keres az interneten.
- 20-27. nap: Szolgáltatásmegtagadási támadások indítása több fix IP-címen. Ezek között volt a Fehér Ház webszerverének IP-címe is.
- 28. nap – hónap vége: Alszik, nincs aktív támadás.
A féreg a sebezhető gépek keresése során nem vizsgálta, hogy a távoli gépen futó szerver az IIS sebezhető verzióját futtatja-e, sőt azt sem, hogy egyáltalán fut-e rajta IIS. Az Apache hozzáférési naplók ebben az időszakban gyakran tartalmaztak ilyen bejegyzéseket:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
A féreg hasznos terhe az utolsó “N” után következő karakterlánc. Egy puffertúlcsordulás miatt egy sebezhető állomás ezt a karakterláncot számítógépes utasításként értelmezte, így terjesztve a férget.