Wykorzystana luka w zabezpieczeniachEdit
Robak wykorzystywał lukę w oprogramowaniu growym dystrybuowanym wraz z IIS, opisaną w biuletynie bezpieczeństwa Microsoftu MS01-033, dla której miesiąc wcześniej udostępniono łatę.
Robak rozprzestrzeniał się wykorzystując popularny typ luki znany jako przepełnienie bufora. Wykorzystywał długi ciąg powtarzających się liter „N” do przepełnienia bufora, co pozwalało mu na wykonanie dowolnego kodu i zainfekowanie maszyny robakiem. Kenneth D. Eichman jako pierwszy odkrył, jak go zablokować, i za swoje odkrycie został zaproszony do Białego Domu.
Ładunek płatny robakaEdit
Ładunek płatny robaka obejmował:
- Odświeżanie zainfekowanej strony internetowej w celu wyświetlenia:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Inne działania w zależności od dnia miesiąca:
- Dni 1-19: Próba rozprzestrzenienia się poprzez poszukiwanie kolejnych serwerów IIS w Internecie.
- Dni 20-27: Przeprowadzenie ataków typu denial of service na kilka stałych adresów IP. Wśród nich znalazł się adres IP serwera WWW Białego Domu.
- Dni 28-koniec miesiąca: Uśpieni, brak aktywnych ataków.
Skanując maszyny podatne na ataki, robak nie sprawdzał, czy serwer uruchomiony na zdalnej maszynie korzystał z podatnej wersji IIS, ani nawet czy w ogóle korzystał z IIS. Logi dostępowe Apache’a z tego okresu często zawierały wpisy takie jak ten:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Ładunkiem robaka jest ciąg znaków następujący po ostatnim „N”. Ze względu na przepełnienie bufora, podatny host interpretował ten ciąg jako instrukcje komputerowe, rozprzestrzeniając robaka.
.