JК
Компьютерное подполье. Истории о хакинге, безумии и одержимости :: Дрейфус Сьюлетт
Страница: 54 из 606Техника репликации предполагает небольшое изменение кода, на что указывает источник нападения и накапливаемая в результате самообучения червя информация.
Весь анализ был сделан в большой спешке, но я считаю, что все факты достоверны. Для начала – описание программы:
1. Программа удостоверяет, что работает в директории, к которой сам владелец имеет полный доступ (с правами чтения, записи, исполнения и удаления файлов).
2. Программа проверяет, не работает ли уже другая копия червя, для чего она ищет процесс с первыми пятью знаками NETW_. В случае его обнаружения она самоуничтожается и прекращает работу. (ПРИМЕЧАНИЕ: Быструю проверку на зараженность можно провести, поискав процесс, начинающийся с NETW_. Это можно сделать с помощью команды SHOW PROCESS.
3. Затем программа изменяет пароль по умолчанию учетной записи DECnet случайной последовательностью двенадцати или более знаков.
4. Информация о пароле, использованном для доступа в систему, отправляется пользователю GEMTOP [11] на узле SPAN 6.59. Некоторые версии могут иметь другие адреса.
5. Процесс меняет свое имя на NETW_ плюс случайно выбранный набор цифр.
6. Затем программа смотрит, имеет ли SYSNAM привилегию. Если да, то она замещает сообщение системы своим баннером.
WORMS AGAINST NUCKLEAR KILLERS
You talk of times of peace for all, and then prepare for war
7. Если она имеет SYSPRV, то блокирует почту учетной записи SYSTEM.
8. Если она имеет SYSPRV, то изменяет процедуру выполнения команд при входе в систему так, как если бы стирались все файлы пользователя (но в действительности не делает этого).
9.
Весь анализ был сделан в большой спешке, но я считаю, что все факты достоверны. Для начала – описание программы:
1. Программа удостоверяет, что работает в директории, к которой сам владелец имеет полный доступ (с правами чтения, записи, исполнения и удаления файлов).
2. Программа проверяет, не работает ли уже другая копия червя, для чего она ищет процесс с первыми пятью знаками NETW_. В случае его обнаружения она самоуничтожается и прекращает работу. (ПРИМЕЧАНИЕ: Быструю проверку на зараженность можно провести, поискав процесс, начинающийся с NETW_. Это можно сделать с помощью команды SHOW PROCESS.
3. Затем программа изменяет пароль по умолчанию учетной записи DECnet случайной последовательностью двенадцати или более знаков.
4. Информация о пароле, использованном для доступа в систему, отправляется пользователю GEMTOP [11] на узле SPAN 6.59. Некоторые версии могут иметь другие адреса.
5. Процесс меняет свое имя на NETW_ плюс случайно выбранный набор цифр.
6. Затем программа смотрит, имеет ли SYSNAM привилегию. Если да, то она замещает сообщение системы своим баннером.
WORMS AGAINST NUCKLEAR KILLERS
You talk of times of peace for all, and then prepare for war
7. Если она имеет SYSPRV, то блокирует почту учетной записи SYSTEM.
8. Если она имеет SYSPRV, то изменяет процедуру выполнения команд при входе в систему так, как если бы стирались все файлы пользователя (но в действительности не делает этого).
9.