Utnyttjade sårbarhetEdit
Mormen visade på en sårbarhet i den växande programvara som distribueras tillsammans med IIS och som beskrivs i Microsofts säkerhetsbulletin MS01-033, för vilken en patch hade funnits tillgänglig en månad tidigare.
Mormen spred sig själv genom att använda sig av en vanlig typ av sårbarhet, ett s.k. buffertöverflöde. Den gjorde detta genom att använda en lång sträng med den upprepade bokstaven ”N” för att överlöpa en buffert, vilket gjorde det möjligt för masken att exekvera godtycklig kod och infektera maskinen med masken. Kenneth D. Eichman var den förste som upptäckte hur den kunde blockeras och bjöds in till Vita huset för sin upptäckt.
Ormens nyttolastRedigera
Nyttolasten för masken omfattade:
- Förvrängning av den drabbade webbplatsen så att den visar:
HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
- Andra aktiviteter baserade på månadens dag:
- Dagar 1-19: Försöker sprida sig genom att leta efter fler IIS-servrar på Internet.
- Dagar 20-27: Starta överbelastningsattacker på flera fasta IP-adresser. IP-adressen till Vita husets webbserver var en av dessa.
- Dagar 28 i slutet av månaden: När masken sökte efter sårbara maskiner testade den inte om servern som kördes på en fjärrmaskin körde en sårbar version av IIS, eller ens om den körde IIS överhuvudtaget. Apache-åtkomstloggar från den här tiden hade ofta poster som dessa:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Vormens nyttolast är strängen efter det sista ”N”. På grund av ett buffertöverflöde tolkade en sårbar värd denna sträng som datorinstruktioner, vilket spred masken.