Der Programmierer des Wurms Code Red nutzt für seine Angriffe eine Sicherheitslücke in Microsofts "Internet Information Server" (ISS) 4 und 5. Diese Verwundbarkeit durch eine bestimmte Art von "Buffer-overflow"-Angriffen war bereits Mitte Juni entdeckt und Microsoft mitgeteilt worden. Das Softwarehaus brachte daraufhin relativ schnell einen Patch heraus. Dennoch konnte der Wurm innerhalb kürzester Zeit über 300000 Server infizieren, für Sicherheitsexperten ein Indiz dafür, dass es zahlreiche Administratoren mit den Sicherheits-Updates für ihre Web-Server nicht so genau nehmen.

Findet der Wurm einen verwundbaren Server, so verunstaltet er jede Web-Seite auf diesem Rechner mit dem Text "Welcome to http://www.worm.com! Hacked by chinese!".

Viele SchwachstellenAuf Hosts, deren Standardsprache nicht Englisch ist, unterlässt der digitale Schädling eine Verunstaltung der Seiten, scannt aber trotzdem die IP-Adressen. Von diesen schnappt sich der Wurm 100 Adressen und untersucht sie auf etwaige Schwachstellen, um sich weiter zu verbreiten. Als letzten Schritt startet der Plagegeist dann an jedem 20. eines Monats einen DDoS-Angriff (DDoS = Distributed Denial of Service) auf die Internet-Seite des Weißen Hauses.

Dem Angriff des Wurms, auf dessen Programmierer es bis Redaktionschluss keine Hinweise gab, fielen nicht nur Microsoft-Server zum Opfer. Anwenderberichten zufolge waren auch Cisco-DSL-Router der Serie 600 sowie etliche Netzdrucker mit IP-Adresse von der Attacke betroffen.

Kaum hatten die Sicherheitsexperten Code Red analysiert, da erfolgte die zweite Angriffswelle. Eine um 13 Byte geänderte Variante trieb ihr Unwesen. Im Gegensatz zur Ursprungsversion verändert diese die Web-Seiten nicht mehr. Ferner schreibt sie auch nicht auf die Festplatte des betroffenen Servers, sondern nistet sich im RAM ein, um eine Entdeckung zu erschweren.