Черви в компе и тараканы в голове
Xakep, номер #039, стр. 039-024-1
Что может заползти из Интернета на твою машину?
UFO (ufobject@mail.ru; dal.net.ru #underground); VenouS (venous@smtp.ru)
Привет! Ты, наверное, уже не один раз слышал об интернет-червях, проникающих в разные щели сетевых машин и производящих на них разного рода действия: уничтожение инфы, рассылка самих себя по несчастным из твоей адресной книги или перепрошивка Flash-биоса последней версией тамагочи. Сегодня я расскажу тебе о жизни этих техно-зверьков. Думаю, тебе это будет полезно.
И создал Моррис червя
В ноябре 1988 года глобальная сеть подверглась атаке червя, которого назвали "вирусом Морриса". Эта программа была названа по имени создателя - Роберта Морриса, студента Корнельского университета. Червь использовал переборщик паролей для доступа в закрытые области диска атакуемых машин и различные баги *nixnix серверов. Например, одну из ошибок в sendmail. Это была даже не ошибка, а недокументированная функция, облегчающая в процессе разработки программы ее отладку. Она позволяла отправлять на атакуемую машину код, который мог тут же компилироваться и запускаться. Скомпилированная программа соединялась с инфицированным сервером и запрашивала необходимые установочные компоненты (напоминает подгрузку плагинов в троянах, правда?). Но каким образом червь получал доступ на *nixnix машины? Дело в том, что в те времена ни администраторы, ни сами пользователи не уделяли особого внимания созданию сложных в отношении перебора паролей. Как правило, пароль совпадал с именем учетной записи. Это 88-й год, ты еще не забыл? :) Тогда хакерство не было так распространено. В теле червя был словарь из 432 самых распространенных слов, используемых в качестве пароля. Как ни странно, но именно таким простым перебором червю удавалось получать доступ к атакуемым машинам. Червь умел скрывать следы своих действий: после его запуска все исполняемые файлы тут же уничтожались, были скрыты все сообщения об ошибках, а при каких-либо критических ситуациях червь уничтожал и себя, и все установочные файлы. В период со 2 по 3 ноября было инфицировано порядка 6000 машин. Атаке подверглись не только университетские сети и сети частных компаний, но и машины таких важных стратегических объектов США, как Пентагон, Агентство Национальной Безопасности и NASA. Данный инцидент заставил производителей *nix систем пересмотреть политику безопасности, применяемую к своим продуктам. Создатель вредоносного кода был приговорен к трехмесячному тюремному сроку и штрафу в размере 270.000$. Атаке подверглись 1200 сетей. Сумма затраченных средств на анализ атаки, нахождение, удаление, исправление и восстановление работоспособности каждой машины составляла примерно 100000000$!
Наши дни. Инет
Основным различием червей между собой является метод их распространения. Начнем с червей, распространяющихся по[SP1] электронной почте. Одним из таких вирусов является интернет-червь Toil. Он написан на асме под windows. В распакованном виде весит 15кб. Распространяется аттачем в электронных письмах.
Структура зараженного файла:
