Vulnerabilitate exploatatăEdit
Versul a arătat o vulnerabilitate în software-ul de creștere distribuit cu IIS, descris în Microsoft Security Bulletin MS01-033, pentru care un patch fusese disponibil cu o lună înainte.
Versul s-a răspândit folosind un tip comun de vulnerabilitate cunoscut sub numele de buffer overflow. Acesta a făcut acest lucru folosind un șir lung de litere repetate „N” pentru a depăși un buffer, permițând viermelui să execute cod arbitrar și să infecteze mașina cu viermele. Kenneth D. Eichman a fost primul care a descoperit cum să îl blocheze și a fost invitat la Casa Albă pentru descoperirea sa.
Sarcina utilă a viermeluiEdit
Sarcina utilă a viermelui a inclus:
- Defactarea site-ului web afectat pentru a afișa:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Alte activități în funcție de ziua lunii:
- Zilele 1-19: Încearcă să se răspândească căutând mai multe servere IIS pe Internet.
- Zilele 20-27: Lansează atacuri de negare a serviciului pe mai multe adrese IP fixe. Adresa IP a serverului web al Casei Albe a fost printre acestea.
- Zilele 28- sfârșitul lunii: Dormi, nu există atacuri active.
Când scana mașinile vulnerabile, viermele nu testa pentru a vedea dacă serverul care rulează pe o mașină la distanță rulează o versiune vulnerabilă a IIS, sau chiar pentru a vedea dacă rulează IIS deloc. Jurnalele de acces Apache din această perioadă prezentau frecvent intrări precum acestea:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Carga utilă a viermelui este șirul care urmează după ultimul „N”. Din cauza unei depășiri de buffer, o gazdă vulnerabilă a interpretat acest șir ca instrucțiuni de calculator, propagând viermele.