Компьютерное подполье. Истории о хакинге, безумии и одержимости | страница 30

Если ваш сайт подвергнется нападению, пожалуйста, обратитесь в CIAC для получения дальнейших инструкций…

Сообщение о черве W.COM 

Р. Кевин Оберман

Технический отдел

Национальная лаборатория имени Лоренса Ливермора

16 октября 1989 года.

Приводим описание работы червя W.COM, основанное на исследовании двух первых версий. Техника репликации предполагает небольшое изменение кода, на что указывает источник нападения и накапливаемая в результате самообучения червя информация.

Весь анализ был сделан в большой спешке, но я считаю, что все факты достоверны. Для начала – описание программы:

1. Программа удостоверяет, что работает в директории, к которой сам владелец имеет полный доступ (с правами чтения, записи, исполнения и удаления файлов).

2. Программа проверяет, не работает ли уже другая копия червя, для чего она ищет процесс с первыми пятью знаками NETW_. В случае его обнаружения она самоуничтожается и прекращает работу. (ПРИМЕЧАНИЕ: Быструю проверку на зараженность можно провести, поискав процесс, начинающийся с NETW_. Это можно сделать с помощью команды SHOW PROCESS.

3. Затем программа изменяет пароль по умолчанию учетной записи DECnet случайной последовательностью двенадцати или более знаков.

4. Информация о пароле, использованном для доступа в систему, отправляется пользователю GEMTOP[11] на узле SPAN 6.59. Некоторые версии могут иметь другие адреса.

5. Процесс меняет свое имя на NETW_ плюс случайно выбранный набор цифр.

6. Затем программа смотрит, имеет ли SYSNAM привилегию. Если да, то она замещает сообщение системы своим баннером.

WORMS AGAINST NUCKLEAR KILLERS

You talk of times of peace for all, and then prepare for war

7. Если она имеет SYSPRV, то блокирует почту учетной записи SYSTEM.

8. Если она имеет SYSPRV, то изменяет процедуру выполнения команд при входе в систему так, как если бы стирались все файлы пользователя (но в действительности не делает этого).

9. Затем программа сканирует логическую таблицу учетных записей для командных процедур и стремится изменить учетную запись FIELD на известный пароль с логином из любого источника и всеми привилегиями. Это примитивный вирус, но он очень эффективен, если проникает в высокопривилегированную учетную запись.

10. Программа приступает к попытке проникновения в другую систему путем случайного выбора номеров узлов. Кроме того, она использует функцию PHONE для получения списка активных пользователей удаленных систем. Она начинает беспокоить их, звоня им с помощью PHONE.