WinNuke

L'exploit envoie une chaîne de données hors-bande (en) à l'ordinateur cible sur le port TCP 139 (NetBIOS)[1], l'amenant à se bloquer et à afficher un écran bleu de la mort . Cela n'endommage ni ne modifie les données sur le disque dur de l'ordinateur, mais les données non enregistrées sont perdues.

Le paquet malveillant TCP contient un pointeur urgent (URG) dans son en-tête. Le pointeur urgent est un domaine rarement utilisé dans l'en-tête TCP, dont le but est d'indiquer que certaines des données dans le flux doivent être traitées rapidement par le destinataire. Les systèmes d'exploitation affectés ne manipulent pas le pointeur urgent correctement.

Un internaute dénommé « _eci » publia le code C de l'exploit le 7 juin 1997[1]. Le code source étant alors largement utilisé et distribué, Microsoft a été contraint de créer des patches de sécurité, qui ont été diffusés quelques semaines plus tard. Pendant un certain temps, de nombreuses versions de la commande sont apparues sous divers noms tels que fedup, gimp, killme, killwin, knewkem, liquidnuke, mnuke, netnuke, muerte, nuke, nukeattack, nuker102, pnewq, projet1, pstlince, simportnuke, sprite, sprite32, VConnect, vzmnuker, wingenocide, winnukeit, winnuker02, winnukev95, wnuke3269, wnuke4, et wnuke95.

Une société néo-zélandaise appelée SemiSoft Solutions a créé un programme appelé AntiNuke, qui bloque WinNuke sans avoir à installer le patch officiel[2].

En 2002, une seconde incarnation de WinNuke, utilisant un exploit similaire, a été trouvée[3].

• Écran bleu de la mort