昔の話なので、あまり覚えていないのだが。

その1つが、日立製作所のセキュリティレスポンスチーム、「HIRT（Hitachi Incident Response Team）」が開発したツールだ。HIRTのWebページでは、このツールによってワームの動きを「可視化」する様子が紹介されている。
（中略）
例えば、CodeRedやSQL Slammerといったワームの場合は、無作為にIPアドレスを生成し、次なる感染先を探し求める。一方BlasterやZotobはランダムではなく「近場狙い」で、感染元と同一ネットワークに属するIPアドレスを決めうちで探索する。

ネットワークワームが感染活動を行うに際して、攻撃先とするノードは以下に類別される。
1）LAN内部、つまりローカルなネットワークの共有リソースをアタックするものなど。
2-1）感染ノードのIPアドレスに近い外部の無関係のノードをアタックするもの。
2-2）ランダム
3）指定された相手

CodeRedの感染活動先は（ホワイトハウスへのDOS攻撃は別として）割とランダムなものの（バグか何か知らないが）偏りがあって、CodeRed IIの攻撃先は感染源に近い特定のアドレスブロック偏重だったはず。

ワーム（CodeRed II）は感染させる他のホストのアドレスをランダムに生成しますが、一様にランダムではなく、自分のアドレスに依存して次のような割合でアドレスを生成します。例えば、自分のアドレスが、210.220.x.xx.xxxの場合まったくランダムなもの *.*.*.* 25%, Class Bが同じもの 210.220.*.* 37.5%, Class Aが同じもの210.*.*.* 50% 。このため、よりご近所さんからアタックを受けることになります。127.*.*.*、244.*.*.*、および最後が0と255のアドレスは生成しません。また自分自身には再感染しません
（SymantecのCodered IIの解説より（現在404）（http://www.symantec.com/region/jp/sarcj/data/c/codered.ii.html）

記憶では実態としては確か、CodeRedは割とすぐに消えて。CodeRed IIがその後に主流となったはず。
当時は大パニックだったから、多くの情報が錯綜したり混同されたりしたんだけど。

CodeRedの攻撃先ノードの選び方は、実際にはどんな感じでしたっけ？
既に多くの情報サイトが消失したり404エラーなので、よくわからない。