Антивирус, наверное, был похож на утку для приманки. Оставалось только написать программу, которая будет маскироваться под червя, и запустить ее на всех компьютерах НАСА. Первая анти-WANK программа так и делала. Она тихо сидела целый день на компьютерах SPAN под именем процесса NETW_XXXX, фальсифицируя реального червя.
Оберман первым сделал анти-WANK программу и отослал её МакМахону. Она работала хорошо, но МакМахон заметил один большой недостаток. Программа Обермана проверяла процессы на имя NETW_, но предполагалось, что червь работал в группе SYSTEM. Во многих случаях это было так, но не всегда. Если червь действовал в другой группе, программа Обермана была бесполезна. Когда МакМахон указал на промах, Оберман подумал: «Бог мой, как я это пропустил?»
МакМахон работал над своей версией программы анти_WANK, основанной на обермановской программе, готовя ее для запуска в НАСА.
В это же время Оберман пересматривал свою анти-WANK программу для DOE. Ночью в понедельник Оберман уже был готов разослать первую копию вакцины вместе с электронным предупреждением о черве. Часть первого электронного предупреждения CIAC содержала следующее:
/////////////////////////////////////////////////////////////////////////
Консультанты по компьютерным инцидентам CIAC
Замечания
Червь W.COM атакует системы VAX VMS
16 октября 1989 18:37
Имеется ошибка, способная привести к большим повреждениям.
После уведомления (по электронной почте) о каждом успешном проникновении и образовании черного хода (аккаунта FIELD), уже недостаточно исправления этой ошибки. Вы должны быть уверены, что все аккаунты имеют пароли, отличные от их имен.
Кевин Оберман.
Замечания
Червь атакует сеть НАСА SPAN через системы VAX/VMS, подключенные к DECNET. Пути распространения червя не проверены. Он может распространиться в другие системы, такие как HEPNET DOE, в течении нескольких дней. Администраторы систем VMS должны быть начеку.
Цель червя – машины VMS. Для распространения чеврь использует две особенности DECNET/VMS. Первая – дефолтовый аккаунт DECNET, который используется для анонимных пользователей, не имеющих своего логина и ID. Он использует аккаунт DECNET для копирования на машину, и затем использует особенность DECnet ‘TASK 0′ для удаленного запуска копии. Червь содержит другие средства, включая атаку brute-force.
Как только червь проникает в систему, он заражает .com файлы и создает дырки в безопасности. Похоже он передает информацию о дырках во внешний мир. Он может повредить файлы неумышленно или иначе.
Анализ червя, представленный ниже, принадлежит Кевину Оберману из Лоуренс Ливерморской национальной лаборатории. Включен анализ программы DCL, которая блокирует настоящую версию червя. Существует по крайней мере 2 версии червя и могут появиться новые. Эта программа должна дать вам достаточно времени, чтобы закрыть очевидные прорехи в безопасности. Написана более полная программа DCL.
Если ваша машина была атакована, просьба позвонить в CIAC для подробностей…
Сообщение о черве W.COM.
Кевин Оберман
Технический отдел
Лоуренс Ливерморская национальная лаборатория
16 октября 1989
Дальше описаны действия червя W.COM (основано на исследовании первых двух версий червя). Потомство слегка модифицируется и содержит имена атакованных аккаунтов и другую информацию.
Весь анализ проведен в большой поспешности, но я уверен, что все начальные факты верны. Сначала описание программы:
1. Программа предполагает, что она имеет полный доступ к рабочей директории (чтение, запись, выполнение и удаление).
8th Май 2011
|
Теги:
|