发现日期:2001/7/18
别名:W32/Bady.worm
该蠕虫感染运行Microsoft Index Server 2.0的系统,或是在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统。该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全)。蠕虫只存在于内存中,并不向硬盘中拷文件。
蠕虫的传播是通过TCP/IP协议和端口80,利用上述漏洞蠕虫将自己作为一个TCP/IP流直接发送到染毒系统的缓冲区,蠕虫依次扫描WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在c:\notworm,如果该文件存在,蠕虫将停止感染其他主机。
蠕虫会“强制”web页 中包含下面的代码:
<html><head><meta http-equiv="Content-Type" content="text/html;charset=English">
<title>HELLO!</title></head><bady><hr size=5>
<fontcolor="red">
<p align="center">Welcome to http://www.worm.com !<br><br>
HackedBy Chinese!</font></hr><
/bady></html>
该页面的显示结果为:
Welcome to http://www.worm.com !
Hacked By Chinese!
|