2. Программа проверяет активность другой копии. Она работает как процесс NETW_XXXX. Если такой процесс найден, программа удаляет все свои файлы и завершает свой процесс.
Замечания
Для быстрой проверки на инфекцию поищите процесс, начинающийся с ‘NETW_’. Это можно сделать командой SHOW PROCESS.
3. Затем программа изменяет пароль дефолтового аккаунта DECNET на строку из по меньшей мере 12 случайных символов.
4. Информация о пароле для доступа в систему отсылается пользователю GEMTOP на узле 6.59 SPAN. Некоторые версии могут содержать другой адрес.
5. Процесс изменяет название на NETW_XXXX.
6. Червь проверяет привилегию SYSNAM. Если она имеется, то червь изменяет системное приглашение на баннер из программы:
W O R M S A G A I N S T N U C L E A R K I L L E R S
_______________________________________________________________
\__ ____________ _____ ________ ____ ____ __ _____/
\ \ \ /\ / / / /\ \ | \ \ | | | | / / /
\ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / /
\ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ /
\_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/
\___________________________________________________/
\ /
\ Your System Has Been Officically WANKed /
\_____________________________________________/
You talk of times of peace for all, and then prepare for war.
7. Если имеется привилегия SYSPRV, он отключает почту аккаунту SYSTEM.
8. Если имеется привилегия SYSPRV, червь заменяет команду login на процедуру имитации удаления всех файлов пользователя. (По-настоящему он ничего не делает).
9. Программа сканирует доступные команды аккаунта и пытается изменить пароль аккаунта FIELD и его привилегии. Это примитивный вирус, но очень эффективный, если получит привилегированный аккаунт.
10. Он пытается продолжить распространение на другие узлы, взятые случайным образом. Затем используется PHONE (телефон) для получения списка активных пользователей на удаленной системе. И начинает беспокоить их, используя PHONE.
11. Затем программа пытается получить доступ к файлу RIGHTLIST и пытается проникнуть на удаленную систему, используя имена пользователей из этого файла и имена из списка «стандартных» пользователей в файле червя.
12. Червь ищет аккаунт, имеющий доступ к SYSUAF.DAT.
13. Если найден привилегированный аккаунт, программа копируется в него и запускается. Если найден непривилегированный аккаунт, червь копируется с него в другие аккаунты, найденные на системе, взятой случайным образом.
14. Завершив эти действия червь пытается проникнуть на другую систему, взятую случайным образом (и так до бесконечности).
Ответ:
1. Следующая программа блокирует червя. Распакуйте следующий код и запустите. Она использует минимум ресурсов. Создается процесс с именем NETW_BLOCK, который предотвратит распространение червя.
Замечание: Она работает только для текущей версии червя.
Мутированные черви требуют модификации кода. Однако, эта программа тормозит распространение червя на достаточное время, чтобы можно было успеть обезопасить вашу систему.
////////////////////////////////////////////////////////////////////////
—
Программа анти-WANK МакМахона также была готова в этот понедельник, но образовались задержки в передаче ее из НАСА. Работа в НАСА была тонкой, подобно балету. Требовалось осторожно преодолеть официальные процедуры, остерегаясь как бы бюрократы не отдавили вам пальцы. Прошло несколько дней, прежде чем вышел официальный релиз программы анти-WANK.
|
8th Май 2011
|
Теги:
|