Интернет магазин китайских планшетных компьютеров |
|
Компьютеры - WANK Worm28 апреля 2011WANK Worm червь, который 16 октября 1989 года атаковал сеть NASA SPAN, через системы VAX/VMS использующие DECnet. Червь использует две особенности DECnet/VMS для того, чтобы распространяться. Первая это учётная запись DECnet, создаваемая по умолчанию, которая предназначена для пользователей, не имеющих собственного логина в системе, и которая даёт возможность пользоваться системой более или менее анонимно. Червь использовал эту учётную запись для того, чтобы скопировать себя в систему, а затем использовал трюк с «TASK 0», для того, чтобы запустить копию в удалённой системе. Описание программы: 1. Программа проверяет, имеет ли пользователь полный доступ к текущему каталогу. 2. Программа проверяет, не запущена ли другая копия её самой. Она ищет процесс, первые пять букв названия которого «NETW_». Если такой процесс найден, то программа удаляет себя и завершает свой процесс. 3. Программа изменяет пароль для учётной записи DECNET, создаваемой по умолчанию, на случайную строку длиной не менее 12 символов. 4. Информация о пароле, используемом для доступа к системе, отсылается пользователю GEMTOP на узле SPAN 6.59. Некоторые версии могут использовать другой адрес. 5. Процесс изменяет свое название на «NETW_», за которой следует случайное число. 6. Затем она проверяет, имеется ли у нее права на SYSNAM. Если да, то она меняет системное сообщение-приглашение на: W O R M S A G A I N S T N U C L E A R K I L L E R S _______________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \___________________________________________________/ \ / \ Your System Has Been Officically WANKed / \_____________________________________________/ You talk of times of peace for all, and then prepare for war. 7. Если у нее есть SYSPRV, то она отключает почту для учётной записи SYSTEM. 8. Если у нее есть SYSPRV, то она изменяет процедуру входа в систему так, чтобы, по-видимости, удалять все пользовательские файлы.. 9. Программа сканирует таблицу логических имен учётной записи и пытается изменять поле FIELD на известный пароль с доступом из любого места и полными привилегиями. 10. Она продолжает попытки получить доступ к другим системам, выбирая номера узлов случайным образом. Она использует PHONE, чтобы получить список активных пользователей в удалённой системе. 11. Программа пытается получить доступ к файлу RIGHTLIST и получить доступ к удалённым системам с найденными именами пользователей, а также со «стандартными» именами, включёнными в тело червя. Программа использует те же пароли, которые пользователь использует в локальной системе, или пустые пароли. Программа сохраняет все найденные таким образом учётные записи. 12. Программа ищет учётную запись, которая позволяет доступ к SYSUAF.DAT. 13. Если привилегированная учётная запись найдена, программа копируется в эту учётную запись и запускается. Если такая учётная запись не найдена, программа копируется в одну из найденных учётных записей в случайно выбранной системе. 14. Как только работа с системой подошла к концу, программа выбирает случайным образом другую систему и продолжает работу. 15. Каждый следующий потомок WANK получает от программы родителя всю накопленную информацию об аккаунтах и паролях с уже взломанных машин. Просмотров: 1025
|