El modo de actuación de Code Red del que ya alertaban los expertos, es el siguiente: el virus trata de localizar a través de Internet equipos comprometidos por la vulnerabilidad que afecta a los sistemas ISS de Microsoft y para la que ya existe parche. A partir del análisis de una copia del código obtenida de las víctimas eEye Digital advertía que se trataba de un gusano que se auto-propaga en equipos vulnerables y que de forma automática daña las páginas de inicio de los sites cambiándolas por una pantalla con el mensaje "Welcome to http://www.worm.com! Hacked by Chinese!". El gusano entonces intenta propagarse a otros servidores también basados en ISS. Recordar, como se aclaraba en noticias anteriores, que el autor del site http://www.worm.com ha repetido en numerosas ocasiones que no tiene nada que ver con el creador del virus y que al elegir su página, lejos de beneficiarle, le ha causado más de un problema con responsables de sistemas enfurecidos.

Pero en la actualidad se manejan nuevos datos que vienen a aclarar una duda existente en el momento del nacimiento del gusano: la posibilidad de que dejara puertas abiertas que permitieran a un hacker acceder directamente al servidor. Pues bien, según el estudio de eEye Digital Code Red no deja vías de acceso para otros atacantes.

A estas alturas, ya son más de 22.000 los sites que se han visto infectados, según datos del Instituto SANS y el Centro de Coordinación CERT ha recibido multitud de incidencias al respecto. Pero cabe añadir que todas las infecciones se han producido en páginas web en inglés puesto que el autor diseñó el código sólo para que afectara a los servidores que utilizaban la versión inglesa de Windows NT y 2000. En esta línea, merece la pena destacar que curiosamente la página web que aparece citada en el mensaje de intrusión se encuentra ya infectada por el virus.