Vulnerabilidade exploradaEditar
O worm mostrou uma vulnerabilidade no crescente software distribuído com IIS, descrito no Microsoft Security Bulletin MS01-033, para o qual um patch havia sido disponibilizado um mês antes.
O worm se espalhou usando um tipo comum de vulnerabilidade conhecido como buffer overflow. Ele fez isto usando uma longa string da repetida letra ‘N’ para sobrecarregar um buffer, permitindo que o worm execute código arbitrário e infecte a máquina com o worm. Kenneth D. Eichman foi o primeiro a descobrir como bloqueá-lo, e foi convidado à Casa Branca para sua descoberta.
Worm payloadEdit
O payload do worm incluído:
- Desfazer o site afetado para exibir:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Outras atividades baseadas no dia do mês:
- Dia 1-19: Tentando se espalhar procurando mais servidores IIS na Internet.
- Dias 20-27: Lançar ataques de negação de serviço em vários endereços IP fixos. O endereço IP do servidor web da Casa Branca estava entre esses.
- Dias 28-fim do mês: Sleeps, sem ataques ativos.
Ao fazer o scan de máquinas vulneráveis, o worm não testou para ver se o servidor rodando em uma máquina remota estava rodando uma versão vulnerável do IIS, ou mesmo para ver se ele estava rodando o IIS. Os logs de acesso do Apache deste tempo tinham frequentemente entradas como estas:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
A carga útil do worm é a string que segue o último ‘N’. Devido a um buffer overflow, uma máquina vulnerável interpretou esta string como instruções de computador, propagando o worm.