Exploited vulnerabilityEdit
このワームは、Microsoft Security Bulletin MS01-033 に記載されているIISとともに配布される成長ソフトウェアの脆弱性を示し、1ヶ月前にパッチが提供されていた。
このワームは、バッファ・オーバーフローとしてよく知られているタイプの脆弱性を利用して自己拡散した。 これは、バッファをオーバーフローさせるために「N」を繰り返す長い文字列を使用することで、ワームが任意のコードを実行し、マシンをワームに感染させることを可能にしたのです。 Kenneth D. Eichmanは、これをブロックする方法を最初に発見し、その発見によってホワイトハウスに招待されました。
Worm payloadEdit
ワームのペイロードには、以下のものが含まれます。
- 感染したWebサイトを改ざんして表示:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- 月の日にちに基づく他の動作:
- 1日から19日の間の1日。 インターネット上のより多くのIISサーバーを探すことで自己拡散を試みる。
- 20-27日目:いくつかの固定IPアドレスにサービス拒否攻撃を仕掛ける。 ホワイトハウスのWebサーバーのIPアドレスもその中に含まれていた。
- 28日目 月末。
脆弱なマシンをスキャンする際、ワームはリモートマシン上で動作するサーバーが脆弱なバージョンのIISを実行しているかどうか、あるいはIISを実行しているかどうかを確認することさえしませんでした。 この時期のApacheのアクセスログには、以下のようなエントリーが頻繁に見られます。
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
ワームのペイロードは、最後の「N」の後に続く文字列です。 バッファオーバーフローにより、脆弱なホストがこの文字列をコンピュータの命令として解釈し、ワームを伝播させるのです。