Компьютерный андеграунд


Глава 1 10, 9, 8, 7, 6, 5, 4, 3, 2, 1 - стр. 30


Он использует аккаунт DECNET для копирования на машину, и затем использует особенность DECnet 'TASK 0' для удаленного запуска копии. Червь содержит другие средства, включая атаку brute-force.

Как только червь проникает в систему, он заражает .com файлы и создает дырки в безопасности. Похоже он передает информацию о дырках во внешний мир. Он может повредить файлы неумышленно или иначе.

Анализ червя, представленный ниже, принадлежит Кевину Оберману из Лоуренс Ливерморской национальной лаборатории. Включен анализ программы DCL, которая блокирует настоящую версию червя. Существует по крайней мере 2 версии червя и могут появиться новые. Эта программа должна дать вам достаточно времени, чтобы закрыть очевидные прорехи в безопасности. Написана более полная программа DCL.

Если ваша машина была атакована, просьба позвонить в CIAC для подробностей...

Сообщение о черве W.COM.

Кевин Оберман

Технический отдел

Лоуренс Ливерморская национальная лаборатория

16 октября 1989

Дальше описаны действия червя W.COM (основано на исследовании первых двух версий червя). Потомство слегка модифицируется и содержит имена атакованных аккаунтов и другую информацию.

Весь анализ проведен в большой поспешности, но я уверен, что все начальные факты верны. Сначала описание программы:

1. Программа предполагает, что она имеет полный доступ к рабочей директории (чтение, запись, выполнение и удаление).

2. Программа проверяет активность другой копии. Она работает как процесс NETW_XXXX. Если такой процесс найден, программа удаляет все свои файлы и завершает свой процесс.

Замечания

Для быстрой проверки на инфекцию поищите процесс, начинающийся с 'NETW_'. Это можно сделать командой SHOW PROCESS.

3. Затем программа изменяет пароль дефолтового аккаунта DECNET на строку из по меньшей мере 12 случайных символов.

4. Информация о пароле для доступа в систему отсылается пользователю GEMTOP на узле 6.59 SPAN. Некоторые версии могут содержать другой адрес.

5. Процесс изменяет название на NETW_XXXX.

6.


Начало  Назад  Вперед



Книжный магазин