Легенды вирусостроения: Великий Червь

    image21 год назад произошло событие навеки впечатавшее себя в историю интернета.

    2 ноября 1988 года 99 строк кода вызвали двухдневный шоковый паралич еще молодого и неопытного в делах безопасности интернета.

    Около 6000 VAX машин под управлением операционных систем SUN и BSD UNIX оказались зараженными невиданной доселе заразой. Многие администраторы были вынуждены отключить своих подопечных, чтобы хоть как-то остановить перегрузку компьютеров и распространение заразы.
                                  
    Это был Червь Морриса или в простонародье просто Великий Червь. Из-за разрушительных последствий, которые он оказал на интернет как в плане общего простоя системы, так и психологического воздействия на представление о безопасности и надежности в сети (по аналогии с Великими Червями Толкиена). Неожиданность атаки и некоторые встроенные в червя механизмы вводили многих админов того времени в пограничные эмоциональные состояния. Реакция размазывалась по спектру от «отключить все!» до панического «нас атакуют!»

    Создатель и инициатор червя, на тот момент студент Корнельского университета, Роберт Моррис-младший (старший в это время занимался прямо противоположными вещами, он занимал должность научного руководителя NCSC (National Computer Security Center)) запустил своего монстра с компьютера MIT (prep.ai.mit.edu — машина с открытым доступом), чтобы не привлекать внимания к своему университету. Зачем он это сделал — навсегда останется загадкой. По его собственным утверждениям, это был всего лишь эксперимент, вышедший из-под контроля. Впрочем, строго говоря, Червь и не нанес никакого прямого ущерба.

    Небольшой список атакованных компьютеров



       MIT, Университет штата Миннесота, Северная Каролина, Питтсбургский Университет, машины корпорации RAND, Стэнфорд, Беркли, Университет Карнеги-Меллона, Университет Мэриленда, Университет Пенсильвании, снова Массачусетский Технологический, машины Лаборатории Баллистических Исследований, Университет штата Колорадо и Университет Пурдью а также многие другие.

    Векторы атаки Червя



    image
    Для распространения червь использовал несколько различных путей, сводящихся к эксплуатированию уязвимостей и простейшему подбору паролей доступа.

    Червь состоял из двух частей: загрузчика (99 строк на языке C) и ядра, состоявшего из двух бинарных модулей — кода скомпилированного для BSD и такого же кода только под архитектуру Sun. Имена всех внутренних процедур имели осмысленные названия (например, doit или cracksome), что довольно сильно в дальнейшем облегчило дизассемблирование бинарников.

    Червь внедрял свою копию на удаленные компьютеры и запускал ее. Каждый зараженный компьютер стремился заразить и все прочие связанные с ним машины. Червь был заточен для использования в BSD UNIX и SUN-3. Обнаружив, что такие машины подключены к зараженной, червь копировался на удаленный компьютер, запускался там, стремясь получить максимальный доступ к информации (используя ее только для продолжения взлома), и заражал соседние машины. Лавинообразно распространяясь по незащищенной сети червь множил свои копии в полном соответствии с теорией самовоспроизводящихся механизмов, основы которой заложил еще Джон фон Нейман.

    Первое время никто ничего не понимал, но уже через несколько часов самые продвинутые админы начали действовать, кто как мог, кто-то отключал своих подопечных от сети и пытался их перезагружать в надежде снять перегрузку (что было совершенно напрасно, так как при перезапуске системы червь создавал еще несколько своих копий и загрузка системы только увеличивалась), кто-то бросался в панику отправляя в списки рассылки послания — «Нас атакуют!» (что тоже было напрасно, так как из-за действий червя списки не работали уже несколько часов), а кто-то искал причины мгновенного распространения червя.

    В Беркли уже вечером того же дня понимают, что атака ведется через rsh и sendmail. В качестве меры предосторожности, начинается блокирование сетевых сервисов.

    Через некоторое время, осознав масштаб возникшей проблемы Моррис сообщает своим друзьям о вышедшем из-под контроля эксперименте. Через некоторое время появился анонимный постинг в рассылку TCP-IP, вкратце описывающий, как остановить Червя. Автор постинга (Andy Sudduth) послал это сообщение после телефонного разговора с Моррисом, но, из-за перегрузки сетей и компьютеров, письмо не было отослано в течение примерно суток.

    В скором времени независимо друг от друга разными людьми стали обнаруживаться векторы атаки червя.

    Первым был выпотрошен демон sendmail. Кейт Бостик отправляет предупреждение о Черве и патчи к sendmail в список рассылки TCP-IP, новостную группу 4bsd-ucb-fixes и нескольким системным администраторам.

    Червь использовал функцию «debug» демона sendmail, которая устанавливала отладочный режим для текущего сеанса связи. Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения, снабженные программой-получателем, которая запускается на удаленной машине и осуществляет прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.

    Через sendmail червь заражал компьютеры двух типов — VAX и Sun, поэтому пересылались двоичные коды для каждой архитектуры, оба запускались, но исполняться мог только один. В компьютерах других архитектур программы не могли функционировать, хотя и поглощали системные ресурсы в момент компиляции.

    Несколько часов спустя выяснилось, что заплатки sendmail не помогают, компьютеры заражаются каким-то другим способом. Из-за действий червя MILNET и ARPANET оказываются разъединены.

    По прошествии еще нескольких часов разные люди в разных лабораториях независимо друг от друга обнаружили уязвимость и закончили патчи для демона fingerd.

    Фрагмент кода fingerd:

    {
    char buf[512]:
    ...
    gets(buf);
    }


    Налицо классическая ситуация переполнения буфера (тогда она, видимо, еще не была классикой). Червь передавал специально подготовленную строку из 536 байт, которая вызывала в конечном итоге функцию execve («/bin/sh», 0, 0). Указанным способом атаковались только машины VAX с операционной системой 4.3 BSD, на компьютерах Sun такие атаки терпели неудачу.

    Но и это еще не все. В никсах как тогда, так и сейчас имеется набор сервисов для удаленного выполнения программ сегодня для подобных целей используется ssh, а тогда его место занимали так называемые r-программы. Наиболее уязвимым местом в них была идея «доверия» — пользователи компьютеров, бывшие в списках «доверенных узлов», имели право запускать свои программы на «доверяющей» машине без какой-либо дополнительной проверки. Кроме того, отношение доверия часто было обоюдным. Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.

    Итак, Червь проникал на соседние с зараженной машины, используя дыру в sendmail, дыру в fingerd или «доверие» и rsh. При проникновении на атакуемый компьютер забрасывался загрузчик, команда на компиляцию и выполнение загрузчика, и стирание всех временных файлов. Затем загрузчик втягивал все три файла и пытался запустить сначала одно, потом другое тело. Если ни одно из двух тел не запускалось, загрузчик просто стирал и их, и себя, и прекращал работу.

    Запустившись, Червь всячески маскировался — стирал свой выполняемый файл, шифровал оба тела, читал их в память, а с диска тоже стирал, и, насколько это возможно, модифицировал информацию о себе в таблице процессов.

    Затем, собиралась информация о сетевых интерфейсах зараженного компьютера и о соседних компьютерах, и часть соседей подвергалась попыткам заражения. Те, которых удалось заразить, помечались как зараженные; те, которые заразить не удалось — как «иммунные». Хотя здесь в коде червя специалисты склонны усматривать ошибку, так как участок кода отвечающий за предотвращение повторного заражения машин содержал много ошибок.

    Это имело ключевое значение для жизнестойкости червя: многие машины заражались повторно, нагрузка на системы и сеть увеличивалась и становилась весьма ощутимой, часто приводящей к отказу в обслуживании, в результате чего червь собственно и был обнаружен и обезврежен намного быстрей, чем если бы повторных заражений не было, хотя многократно зараженные машины распространяли червь быстрее, вероятно, пропорционально числу копий червь на машине, что и повлияло на молниеносность распространения, а отказы в обслуживании привели к панике и выходу из строя некоторых ключевых узлов, в результате чего сеть на время развалилась на подсети.

    Подбор паролей осуществлялся довольно простым, но, в то же время, эффективным способом: использовалось четыре вариации на тему login пользователя, а также, список из примерно 200-400 слов. По некоторых сведениям, на отдельных компьютерах больше половины паролей были вскрыты таким образом.

    Уже к вечеру 5 ноября основная масса зараженных узлов была вылечена, заплатки наложены, а в Беркли спецы вовсю препарировали бездыханную тушку Червя.

    К моменту, когда в ФБР поняли, кто виновен в произошедшем, Моррис уже шел сдаваться с повинной.

    След в истории



    Для компьютерного сообщества это был шок. Были пересмотрены фундаментальные основы компьютерной безопасности. Ущерб, принесенный Червем Морриса был оценён примерно в 100 миллионов долларов (к таким оценкам следует относиться весьма и весьма осторожно, поскольку каковы методы их оценки, какие параметры считают, а какие нет — неизвестно).

    По некоторым данным, Червь это единственная в истории компьютерная программа, потеснившая на первых полосах материалы о президентских выборах в США. Многие институты и организации на несколько недель и даже месяцев отключились от Интернета. Администраторы, не представляя о реальных масштабах опасности, решили перестраховаться.

    Наиболее разумной мерой противодействия взлому, спровоцированной Червем, явилось образование CERT.

    P.S.



    В любом программном обеспечении могут быть ошибки, грозящие различными уязвимостями. Постепенно интернет затягивает нас все глубже и глубже, вызывая катастрофическую зависимость, тем временем средняя квалификация пользователей падает ниже плинтуса.    Пользователь ничего не желает знать о компьютере (и это, конечно, не так уж страшно, это просто неизбежно).

    Вот системный администратор обязан быть бдителен, должен постоянно следить за безопасностью своих подопечных. Впрочем, увы, сплошь и рядом это не так и на должностях системных администраторов сидят эникейщики.

    Хороший администратор — всегда параноик.

    В тему:



    →  Исходный код Червя Морриса
    →  Английская вики-статья о Черве
    →  Русская вики-статья о Черве
    →  Подробный разбор устройства Червя
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 82
    • +1
      Познавательно. Спасибо.
      • +9
        Прочитав «Легенды вирусостроения», невольно подумал, что тема о пандемии, но дочитав название, обрадовался, что сегодня на хабре появилось что-то интересное, а не уг.

        Спасибо за замечательную статью, с удовольствием почитал. %)
        • –4
          Ничего, еще пару лет и появится «живая» легенда вирусостроения. Надеюсь, сегодняшняя «легкая паника» с пока еще естественной мутацией гриппа позволит встретить будущую искусственную во всеоружии и без особых потерь. По крайней мере, сюрпризом это уже не будет, так что запасайтесь файрволами, господа.
        • +1
          Зачетный Ковер-Арт =)
          • 0
            Джабба-панк
            • 0
              Оу, сам Джони Ли Миллер!? Это вы сыграли zero cool, прототипом которого был Моррис? :)

              (фильм hackers, если кто не помнит)
              • 0
                Помним, но Как показывает практика Miller довольно распространенная фамилия особенно в британии, так что совпадение имени это просто совпадение, тем более у него Lee второе имя =)
              • +1
                Я надеюсь, вы не о червяке из «Лабиринта»?
              • 0
                Прочитал с удовольствием, спасибо, побольше бы таких статей.
                • +6
                  Что автору сделали? ;)
                  • +4
                    … суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ…
                    • 0
                      Парня посадили, а если бы не он все могло бы быть по другому...©
                    • +3
                      Можно еще отметить, что за своего червя товарищ Моррис получил 3 года условно и штраф в 10500 долларов.
                      • +9
                        there are two kinds of sysadmins: paranoids and losers.
                        • 0
                          Кстати, очень полезно прочитать молодежи, у которых «вирусов под UNIX/Linux не может быть паапридилению!»
                          • +4
                            Кто вас тянул за язык? Вам холивара мало в интернете? Вы сравниваете 1988 и 2009 года…
                            • –9
                              А что, многое поменялось в «юниксе» 1988 и 2009 года?
                              • +7
                                "-Рак мозга?
                                — Мозг рака!"

                                Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
                                • –3
                                  Какое это имеет отношение к обсуждаемой теме?
                                  • +3
                                    Прямое. Могу дать один намёк, в виде встречного вопроса: «А что, многое поменялось в винде 1988 и 2009 года?»
                                    • –3
                                      «в винде поменялось» — все. В отличие от UNIX.
                                      • +2
                                        Всё изменилось? Прям всё? Оно и видно, ага:

                                        Как тянулись сопли из ДОСа — так и тянутся.
                                        Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)

                                        Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
                              • –4
                                «Для проникновения в компьютеры вирус использовал как алгоритмы подбора пароля (см. ниже), так и „дыры“ в различных коммуникационных программах»

                                Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
                                Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
                                • 0
                                  Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать. Взломать можно все, АБСОЛЮТНО все. Компьютерные системы создают люди, а человеку свойственно ошибаться. Взломать можно даже кипятильник, вопрос только в том, что из этого можно получить. Просто под Windows каждый день появляются сотни вирусов, а раз в пару месяцев появляются достаточно сильные вирусы, которые поражают огромное число компьютеров. Благодаря своей архитектуре, а также тому, что код является открытым (до выхода нового релиза какого-то ПО исходный код читают тысячи людей и находят в нем дыры, которые исправляются еще ДО релиза) дыр в Linux\Unix системах гораздо меньше, но они все-равно есть.
                                  • +6
                                    > Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать.

                                    Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
                                    • 0
                                      Вирусов (и пандемий) под линуксом нету потому что у виндовс единый дистрибутив, а у линуксов — зоопарк. Слишком сложно учесть всё.
                                      • 0
                                        причин этому, разумеется, куда больше
                                        • 0
                                          Да ладно вам, все из апстрима берут одно и то же.
                                          • 0
                                            в таком случае были бы вирусы для наиболее популярных дистрибутивов вроде Ubuntu
                                        • +2
                                          молодой человек. Вы были сисадмином в 1988 году? я еще в пиленках ползал, поэтому судить о том времени не берусь. Но давайте просто рассуждать логически. Давайте просто посмотрим на кол-во вирусов, троянов, степень защиты ОС основанных на UNIX c 1988 по 2009 год. А в частности покажите живые вирусы за 2009 год.
                                          Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
                                          • +1
                                            Ну я начал сисадминить, вот именно что тем, что называется сегодня «сисадминить», году с 92, если я правильно помню дела прошлые.
                                            Ну это ладно, не будем «толщиной канала меряться».

                                            С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
                                            Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
                                            Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.

                                            Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.

                                            А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.

                                            Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?

                                            Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
                                            И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
                                            • 0
                                              Хоть это не модно на хабре, кроме поставленного плюса ещё и отпишусь. Полностью согласен.
                                              • 0
                                                Хм… интересно, в качестве паролей программы на brainfuck'е сойдут? :)
                                                • +1
                                                  Вы опять вспоминаете былые 80-е, и сравниваете их с сегодняшним днем, мол раньше так было и сейчас будет так же если захотеть, это троллинг и не хочу ввязыватся в спор, все что вы перечислили (и я в том числе) есть в интернете, поэтому отвечу коротко:
                                                  Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
                                                  П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
                                                  Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
                                                  П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
                                                  • 0
                                                    >Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?

                                                    Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
                                                    Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
                                                    Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
                                                    • 0
                                                      Не надо ставить популярные в интернете «сборки» с отключенным или «потвиканным» «для удобства» UAC.
                                                      В нормальной W7 как и в Vista UAC работает так, как полагается.
                                                      • 0
                                                        При запуске каждого екзешника — «А Вы уверены, что хотите его запустить?»
                                                        При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
                                                        При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»

                                                        И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
                                                        • +1
                                                          Не надо грязи. В Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам.
                                                          • 0
                                                            Где Вы «грязь» увидели? Я всего лишь перечислил ситуации, в которых воочию наблюдал диалоги UAC. Если Вы считаете, что это «грязь» — то я её всего лишь констатирую :)

                                                            И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
                                                            А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
                                                            Так что «не надо грязи» ©
                                                            • 0
                                                              > А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза:

                                                              1. И это правильно.
                                                              2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»

                                                              PS. В W7 UAC _сильно_ поправили.
                                                              • 0
                                                                Тем самым Вы как бы признаёте, что заявление «в Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам» не соответствует действительности?
                                                                • 0
                                                                  Если у вас от этого что-то удлиннится — то конечно признаю, я с удовольствием сделаю вам приятное :D
                                                                  Я вообще готов что угодно вам признать, если вы меня вежливо попросите. ;)
                                                                  • 0
                                                                    Удлинниться-то не удлиннится, но вот то, что разговор приобретёт более осмысленный оттенок — факт.
                                                  • 0
                                                    Вот натолкнулся:
                                                    www.xakep.ru/post/18040/default.asp
                                                    посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
                                                    Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
                                                    Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
                                                    • +1
                                                      Ссылка на журнал Ксакеп это безусловно убийственный аргумент, даже не знаю чем крыть. Еще можно найти что-нибудь на ЛОР-е, или, до кучи, на башорге, и тоже прислать ;)
                                                    • 0
                                                      Автор статьи даже не отличает доллар от фунта… =\
                                            • +2
                                              Ну вот потому они и не выживают под никсами, что никсоиды хорошо усвоили урок Червя.
                                              • –2
                                                «Не выживают». Давайте-давайте. Веруйте. До следующего Червя.
                                                • +1
                                                  Бред, сейчас не Черви, а эксплойты, дыры залатываются быстрее чем находятся. И вообще — юниксы того времени — blob-ware, а сейчас open-source в основном, в их модели разработки меньше прорех )
                                                  • 0
                                                    Вот это точно бред, сейчас черви пишутся и плодятся куда круче чем раньше взять хотя бы недавнего зверя — Conficker…
                                                    • +3
                                                      Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008

                                                      не спорю, в применении к Венде.
                                                      Под юникс ничего серьезного с того самого червя и не было
                                                • 0
                                                  а что там выживать сложно чтоли? на большенстве серверов нет IDS а бывает и фаервола. ClamAV ставится аще всего только для проверки почты. 1 удаленный эксплойт и возможно локальный рут эксплойт и вот вам второй моррис. считаю дело времени
                                                  • +3
                                                    Сейчас уже не делают вирусы просто чтобы всё сломать. Вирусы пишут для зарабатывания денег. Поэтому, большинство троянов крадут пароли и рассылают с заражённой машины спам. И основная задача — остаться незамеченным. «Второй великий червь» просто никому не выгоден и не нужен.
                                                    • +1
                                                      я не говорю ни о зарабатывании денег ни о том чтобы всё порушить. черьвь морриса давал слишком большую нагрузку и это был его баг а не цель. я о том что комунибудь может прийти в голову идея сделать это Just For Fun или ради эксперимента
                                                    • 0
                                                      Вы это расскажите владельцам ботнетов, сложно сделать выживаемый в Линуксе троян или нет.
                                                      Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
                                                      • 0
                                                        естественно если вы знаете что у вас троян или червь то вы его найдете. но червь может сидеть тихо и допустим делать 1 попытку взлома в 10 минут.
                                                        я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
                                                        • 0
                                                          откуда у меня или у обычного пользователя Линукса появится сошник с трояном внутри?
                                                          А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
                                                          И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
                                                          • 0
                                                            в ядре линукс 10 миллионов строк. нужесли вы думаете что там нет критических уязвимостей под которые можно написать удаленный эксплойт. а если мы возьмем ещё демоны SSH, FTP, HTTP? теоретически можно собрать пачку эксплойтов и зашить в червя(мы же всётаки про червя говорим). насчет переносимости. если брать только линукс как самую распространенную систему то можно и одним бинарником с минимум зависимостей обойтись. если нужна переносимость в риделах POSIX можно собирать из сурсов, загруженных шеллкодом. либо вобще делать червя полостью на sh. вариантов море. естественно это всё теория ненадо так воспринимать…
                                                        • 0
                                                          Ага-ага.
                                                          То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?

                                                          А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?

                                                          А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
                                                    • 0
                                                      О виндовых вирусах тоже будет написано позже и не мало :)
                                                      • 0
                                                        И про oneHalf пожалуйста тоже ;-)
                                                        • 0
                                                          В разработке, а вот следующий пост по теме
                                                          • 0
                                                            Ооо… OneHalf вспоминаю со скупой мужской слезой, первый вирус с которым я столкнулся :) однако-ж всетки насколько он был хорош, задумка шифровать пользовательские данные данные — это нечто.
                                                            • 0
                                                              Это был вирус, по которому мне дали первый мой ник :)

                                                              Было за что

                                                              /me смущенно ковыряет сандалетой пол
                                                              • 0
                                                                Вы его написали или Вы просто послужили причиной заразы всех окружающих? ;)
                                                                • 0
                                                                  Поначалу думали первое, потом оказалось второе. У меня в ту пору было штук 40 пятидюймовых дискет, на которых этого Ваньхальфа было… немало.

                                                                  К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.

                                                                  Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                        • +5
                                                          Мен больше всего понравилась подача и изложение. Редко когда удается до конца прочесть такие большие посты несмотяр на интересность предмета. Спасибо.
                                                          • 0
                                                            Я рад, спасибо за внимание!
                                                          • +2
                                                            Холиварить на тему под какую систему вирусов больше не стоит, тогда вирусы писали под никсы потому что они были больше распространены и только, тоже самое сейчас с виндами, если никсы отвоюют большую чем сейчас долю рынка доля вирусов под никсы так же вырастет. Количество вирусов и популярность системы напрямую коррелируют так что спор бессмысленен, на мой взгляд, а админам еще раз посоветую побольше паранойи в работе и все у вас будет хорошо.
                                                            • +1
                                                              Да ну? Сравните серверный сегмент рынка. Винда там не валяется. И где вирусы? 2 с половиной malware, которые не работают.
                                                              • 0
                                                                На серверном сегменте рынка потери данных идут за счет других факторов. Насколько я могу судить — за счет человеческого.

                                                                Большая защищенность на одном участке заставляет злоумышленников искать слабые места на другом.

                                                                Это я к тому, что вирус — инструмент.
                                                            • –1
                                                              Что-то текст почти один в один как в книге «Атака на интернет»

                                                              bugtraq.ru/library/books/attack/chapter09/04.html
                                                              • 0
                                                                Вы могли бы по ссылкам посмотреть — я в конце ссылаюсь на главу из этой книжки

                                                                — Подробный разбор устройства Червя

                                                                так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
                                                                • –1
                                                                  Никаких обвинений в плагиате я не выдвигал. Книжкой не щеголял. Читал я её как раз таки внимательно, в бумажном варианте, именно поэтому зацепился за дословные фразы из книги.

                                                                  Ссылки — ссылками, а прямое цитирование стоит выделять. Или так и скажите, что это просто компиляция из разных источников.
                                                                  • 0
                                                                    Это в любом случае компиляция — меня там не было и с червем Морриса я лично не боролся.
                                                                    • –1
                                                                      Нужно в VMWare поставить несколько субжей, и запустить туда того червя :)
                                                              • 0
                                                                Первое что читал про это «произведение» это отчет отслеживания развития вируса с поминутной распиской распространения и масштабы нанесенного вреда за период действия. 4 страницы логов тогда очень впечатлило. случаем не знаете где можно найти его? а то я сам не помню где видел. может кто сталкивался?
                                                                • 0
                                                                  А что потом стало с автором вируса?
                                                                • +1
                                                                  >Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения,
                                                                  >снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
                                                                  >прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
                                                                  >разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
                                                                  Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…

                                                                  Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.

                                                                  Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.