Code Red

このワームは IIS に付属ふぞくして配布はいふされたインデックスサーバの脆弱ぜいじゃく性せいを利用りようした。この脆弱ぜいじゃく性せいについては MS01-033 で説明せつめいされている。それによると、ワーム出現しゅつげんの約やく1ヵ月かげつ前まえにパッチが公開こうかいされている。

このワームは自身じしんの拡散かくさんのために、いわゆるバッファオーバーランと呼よばれる脆弱ぜいじゃく性せいを利用りようした。'N' を繰くり返かえした長ながい文字もじ列れつでバッファをオーバーフローさせ、任意にんいのコードを実行じっこうしてマシンに感染かんせんする。

このワームのペイロードには、以下いかが含ふくまれる。

• 感染かんせんしたWebサイトは次つぎのように表示ひょうじさせられる（最後さいごの部分ぶぶんはネット上じょうでの敗北はいぼくを表あらわす決きまり文句もんくとなった。外部がいぶリンク参照さんしょう）

HELLO! Welcome to http://www.worm.com! Hacked By Chinese!

• インターネット上じょうのIISサーバを探さがし、さらに感染かんせんさせようとする。
• 感染かんせん後ご20日はつかから27日にち待まって、いくつかの固定こていのIPアドレスにDoS攻撃こうげきを仕掛しかけるようになっていた。攻撃こうげき目標もくひょうにはホワイトハウスのWebサーバも含ふくまれていた^[1]。

感染かんせん可能かのうなマシンを探さがす際さいに、このワームは IIS の脆弱ぜいじゃく性せいのあるバージョンが動作どうさしているかをチェックしていない。さらに言いえば、IIS が動作どうさしているかどうかすらチェックしていなかった。そのため、当時とうじの Apache のアクセスログを調しらべると、以下いかのようなエントリが頻繁ひんぱんに見みつかる^{[注釈ちゅうしゃく 1]}

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN

NNNNNNNNNNNNNNNNNNN

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3

%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

2001年ねん8月がつ4日にち、Code Red II が出現しゅつげんした。Code Red II は、Code Red ワームから派生はせいしたものではない。感染かんせん方法ほうほうが同おなじであるものの、ペイロードは全まったく異ことなる。感染かんせんしたマシンと同おなじサブネットかまたは異ことなるサブネットのターゲットを、ある固定こていの確かく率りつ分布ぶんぷに従したがった擬似ぎじ乱数らんすう的てきな手法しゅほうで選択せんたくする。通常つうじょう、同おなじサブネット内ないのターゲットを選えらぶことが多おおい。さらに、Code Red で 'N' を繰くり返かえしていた部分ぶぶん（バッファオーバーランを発生はっせいさせる文字もじ列れつ）が 'X' の繰くり返かえしになっている。

eEye はワームの発信はっしん地ちがフィリピンのマカティであると考かんがえている（VBS/Loveletter ワームと同おなじ発信はっしん地ちである）。

1. ^ このワームのペイロードは 'N' の羅列られつの後のちの文字もじ列れつである。脆弱ぜいじゃくなホストはこの文字もじ列れつを命令めいれい列れつとして実行じっこうしてしまう。

• CERT Advisory CA-2001-19
• eEye Code Red advisory
• Code Red II analysis
• Urban Dictionary における "Hacked by Chinese" というフレーズについての説明せつめい