Инженер (210406)
0,0
рейтинг
2 ноября 2009 в 17:18

Легенды вирусостроения: Великий Червь

image21 год назад произошло событие навеки впечатавшее себя в историю интернета.

2 ноября 1988 года 99 строк кода вызвали двухдневный шоковый паралич еще молодого и неопытного в делах безопасности интернета.

Около 6000 VAX машин под управлением операционных систем SUN и BSD UNIX оказались зараженными невиданной доселе заразой. Многие администраторы были вынуждены отключить своих подопечных, чтобы хоть как-то остановить перегрузку компьютеров и распространение заразы.
                              
Это был Червь Морриса или в простонародье просто Великий Червь. Из-за разрушительных последствий, которые он оказал на интернет как в плане общего простоя системы, так и психологического воздействия на представление о безопасности и надежности в сети (по аналогии с Великими Червями Толкиена). Неожиданность атаки и некоторые встроенные в червя механизмы вводили многих админов того времени в пограничные эмоциональные состояния. Реакция размазывалась по спектру от «отключить все!» до панического «нас атакуют!»

Создатель и инициатор червя, на тот момент студент Корнельского университета, Роберт Моррис-младший (старший в это время занимался прямо противоположными вещами, он занимал должность научного руководителя NCSC (National Computer Security Center)) запустил своего монстра с компьютера MIT (prep.ai.mit.edu — машина с открытым доступом), чтобы не привлекать внимания к своему университету. Зачем он это сделал — навсегда останется загадкой. По его собственным утверждениям, это был всего лишь эксперимент, вышедший из-под контроля. Впрочем, строго говоря, Червь и не нанес никакого прямого ущерба.

Небольшой список атакованных компьютеров



   MIT, Университет штата Миннесота, Северная Каролина, Питтсбургский Университет, машины корпорации RAND, Стэнфорд, Беркли, Университет Карнеги-Меллона, Университет Мэриленда, Университет Пенсильвании, снова Массачусетский Технологический, машины Лаборатории Баллистических Исследований, Университет штата Колорадо и Университет Пурдью а также многие другие.

Векторы атаки Червя



image
Для распространения червь использовал несколько различных путей, сводящихся к эксплуатированию уязвимостей и простейшему подбору паролей доступа.

Червь состоял из двух частей: загрузчика (99 строк на языке C) и ядра, состоявшего из двух бинарных модулей — кода скомпилированного для BSD и такого же кода только под архитектуру Sun. Имена всех внутренних процедур имели осмысленные названия (например, doit или cracksome), что довольно сильно в дальнейшем облегчило дизассемблирование бинарников.

Червь внедрял свою копию на удаленные компьютеры и запускал ее. Каждый зараженный компьютер стремился заразить и все прочие связанные с ним машины. Червь был заточен для использования в BSD UNIX и SUN-3. Обнаружив, что такие машины подключены к зараженной, червь копировался на удаленный компьютер, запускался там, стремясь получить максимальный доступ к информации (используя ее только для продолжения взлома), и заражал соседние машины. Лавинообразно распространяясь по незащищенной сети червь множил свои копии в полном соответствии с теорией самовоспроизводящихся механизмов, основы которой заложил еще Джон фон Нейман.

Первое время никто ничего не понимал, но уже через несколько часов самые продвинутые админы начали действовать, кто как мог, кто-то отключал своих подопечных от сети и пытался их перезагружать в надежде снять перегрузку (что было совершенно напрасно, так как при перезапуске системы червь создавал еще несколько своих копий и загрузка системы только увеличивалась), кто-то бросался в панику отправляя в списки рассылки послания — «Нас атакуют!» (что тоже было напрасно, так как из-за действий червя списки не работали уже несколько часов), а кто-то искал причины мгновенного распространения червя.

В Беркли уже вечером того же дня понимают, что атака ведется через rsh и sendmail. В качестве меры предосторожности, начинается блокирование сетевых сервисов.

Через некоторое время, осознав масштаб возникшей проблемы Моррис сообщает своим друзьям о вышедшем из-под контроля эксперименте. Через некоторое время появился анонимный постинг в рассылку TCP-IP, вкратце описывающий, как остановить Червя. Автор постинга (Andy Sudduth) послал это сообщение после телефонного разговора с Моррисом, но, из-за перегрузки сетей и компьютеров, письмо не было отослано в течение примерно суток.

В скором времени независимо друг от друга разными людьми стали обнаруживаться векторы атаки червя.

Первым был выпотрошен демон sendmail. Кейт Бостик отправляет предупреждение о Черве и патчи к sendmail в список рассылки TCP-IP, новостную группу 4bsd-ucb-fixes и нескольким системным администраторам.

Червь использовал функцию «debug» демона sendmail, которая устанавливала отладочный режим для текущего сеанса связи. Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения, снабженные программой-получателем, которая запускается на удаленной машине и осуществляет прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.

Через sendmail червь заражал компьютеры двух типов — VAX и Sun, поэтому пересылались двоичные коды для каждой архитектуры, оба запускались, но исполняться мог только один. В компьютерах других архитектур программы не могли функционировать, хотя и поглощали системные ресурсы в момент компиляции.

Несколько часов спустя выяснилось, что заплатки sendmail не помогают, компьютеры заражаются каким-то другим способом. Из-за действий червя MILNET и ARPANET оказываются разъединены.

По прошествии еще нескольких часов разные люди в разных лабораториях независимо друг от друга обнаружили уязвимость и закончили патчи для демона fingerd.

Фрагмент кода fingerd:

{
char buf[512]:
...
gets(buf);
}


Налицо классическая ситуация переполнения буфера (тогда она, видимо, еще не была классикой). Червь передавал специально подготовленную строку из 536 байт, которая вызывала в конечном итоге функцию execve («/bin/sh», 0, 0). Указанным способом атаковались только машины VAX с операционной системой 4.3 BSD, на компьютерах Sun такие атаки терпели неудачу.

Но и это еще не все. В никсах как тогда, так и сейчас имеется набор сервисов для удаленного выполнения программ сегодня для подобных целей используется ssh, а тогда его место занимали так называемые r-программы. Наиболее уязвимым местом в них была идея «доверия» — пользователи компьютеров, бывшие в списках «доверенных узлов», имели право запускать свои программы на «доверяющей» машине без какой-либо дополнительной проверки. Кроме того, отношение доверия часто было обоюдным. Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.

Итак, Червь проникал на соседние с зараженной машины, используя дыру в sendmail, дыру в fingerd или «доверие» и rsh. При проникновении на атакуемый компьютер забрасывался загрузчик, команда на компиляцию и выполнение загрузчика, и стирание всех временных файлов. Затем загрузчик втягивал все три файла и пытался запустить сначала одно, потом другое тело. Если ни одно из двух тел не запускалось, загрузчик просто стирал и их, и себя, и прекращал работу.

Запустившись, Червь всячески маскировался — стирал свой выполняемый файл, шифровал оба тела, читал их в память, а с диска тоже стирал, и, насколько это возможно, модифицировал информацию о себе в таблице процессов.

Затем, собиралась информация о сетевых интерфейсах зараженного компьютера и о соседних компьютерах, и часть соседей подвергалась попыткам заражения. Те, которых удалось заразить, помечались как зараженные; те, которые заразить не удалось — как «иммунные». Хотя здесь в коде червя специалисты склонны усматривать ошибку, так как участок кода отвечающий за предотвращение повторного заражения машин содержал много ошибок.

Это имело ключевое значение для жизнестойкости червя: многие машины заражались повторно, нагрузка на системы и сеть увеличивалась и становилась весьма ощутимой, часто приводящей к отказу в обслуживании, в результате чего червь собственно и был обнаружен и обезврежен намного быстрей, чем если бы повторных заражений не было, хотя многократно зараженные машины распространяли червь быстрее, вероятно, пропорционально числу копий червь на машине, что и повлияло на молниеносность распространения, а отказы в обслуживании привели к панике и выходу из строя некоторых ключевых узлов, в результате чего сеть на время развалилась на подсети.

Подбор паролей осуществлялся довольно простым, но, в то же время, эффективным способом: использовалось четыре вариации на тему login пользователя, а также, список из примерно 200-400 слов. По некоторых сведениям, на отдельных компьютерах больше половины паролей были вскрыты таким образом.

Уже к вечеру 5 ноября основная масса зараженных узлов была вылечена, заплатки наложены, а в Беркли спецы вовсю препарировали бездыханную тушку Червя.

К моменту, когда в ФБР поняли, кто виновен в произошедшем, Моррис уже шел сдаваться с повинной.

След в истории



Для компьютерного сообщества это был шок. Были пересмотрены фундаментальные основы компьютерной безопасности. Ущерб, принесенный Червем Морриса был оценён примерно в 100 миллионов долларов (к таким оценкам следует относиться весьма и весьма осторожно, поскольку каковы методы их оценки, какие параметры считают, а какие нет — неизвестно).

По некоторым данным, Червь это единственная в истории компьютерная программа, потеснившая на первых полосах материалы о президентских выборах в США. Многие институты и организации на несколько недель и даже месяцев отключились от Интернета. Администраторы, не представляя о реальных масштабах опасности, решили перестраховаться.

Наиболее разумной мерой противодействия взлому, спровоцированной Червем, явилось образование CERT.

P.S.



В любом программном обеспечении могут быть ошибки, грозящие различными уязвимостями. Постепенно интернет затягивает нас все глубже и глубже, вызывая катастрофическую зависимость, тем временем средняя квалификация пользователей падает ниже плинтуса.    Пользователь ничего не желает знать о компьютере (и это, конечно, не так уж страшно, это просто неизбежно).

Вот системный администратор обязан быть бдителен, должен постоянно следить за безопасностью своих подопечных. Впрочем, увы, сплошь и рядом это не так и на должностях системных администраторов сидят эникейщики.

Хороший администратор — всегда параноик.

В тему:



→  Исходный код Червя Морриса
→  Английская вики-статья о Черве
→  Русская вики-статья о Черве
→  Подробный разбор устройства Червя
Александр @jasiejames
карма
207,2
рейтинг 0,0
Инженер (210406)
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (82)

  • +1
    Познавательно. Спасибо.
  • +9
    Прочитав «Легенды вирусостроения», невольно подумал, что тема о пандемии, но дочитав название, обрадовался, что сегодня на хабре появилось что-то интересное, а не уг.

    Спасибо за замечательную статью, с удовольствием почитал. %)
    • –4
      Ничего, еще пару лет и появится «живая» легенда вирусостроения. Надеюсь, сегодняшняя «легкая паника» с пока еще естественной мутацией гриппа позволит встретить будущую искусственную во всеоружии и без особых потерь. По крайней мере, сюрпризом это уже не будет, так что запасайтесь файрволами, господа.
  • +1
    Зачетный Ковер-Арт =)
    • 0
      Джабба-панк
    • 0
      Оу, сам Джони Ли Миллер!? Это вы сыграли zero cool, прототипом которого был Моррис? :)

      (фильм hackers, если кто не помнит)
      • 0
        Помним, но Как показывает практика Miller довольно распространенная фамилия особенно в британии, так что совпадение имени это просто совпадение, тем более у него Lee второе имя =)
    • +1
      Я надеюсь, вы не о червяке из «Лабиринта»?
  • 0
    Прочитал с удовольствием, спасибо, побольше бы таких статей.
  • +6
    Что автору сделали? ;)
    • +4
      … суд приговорил его к трём годам условно, 10 тысячам долларов штрафа и 400 часам общественных работ…
    • 0
      Парня посадили, а если бы не он все могло бы быть по другому...©
  • +3
    Можно еще отметить, что за своего червя товарищ Моррис получил 3 года условно и штраф в 10500 долларов.
  • +9
    there are two kinds of sysadmins: paranoids and losers.
  • 0
    Кстати, очень полезно прочитать молодежи, у которых «вирусов под UNIX/Linux не может быть паапридилению!»
    • +4
      Кто вас тянул за язык? Вам холивара мало в интернете? Вы сравниваете 1988 и 2009 года…
      • –9
        А что, многое поменялось в «юниксе» 1988 и 2009 года?
        • +7
          "-Рак мозга?
          — Мозг рака!"

          Раскажите мне о поддержки сети в винде 2.0 выпущенной в ноябре 1987 г ))))
          • –3
            Какое это имеет отношение к обсуждаемой теме?
            • +3
              Прямое. Могу дать один намёк, в виде встречного вопроса: «А что, многое поменялось в винде 1988 и 2009 года?»
              • –3
                «в винде поменялось» — все. В отличие от UNIX.
                • +2
                  Всё изменилось? Прям всё? Оно и видно, ага:

                  Как тянулись сопли из ДОСа — так и тянутся.
                  Вы ещё попробуйте создать файл с именем «con» или «prn». Ой, не получается? Так это имена досовских псевдоустройств, не положено такие имена иметь обычным файлам %)

                  Про то, что в никсах ничего не изменилось с 1988 года — даже комментировать не буду. Вы явно не использовали юникс-системы даже 5 лет назад, а значит просто сотрясаете воздух :)
      • –4
        «Для проникновения в компьютеры вирус использовал как алгоритмы подбора пароля (см. ниже), так и „дыры“ в различных коммуникационных программах»

        Что-то в этом кардинально изменилось? Пароли подбираются по прежнему, те или иные дыры в софте по прежнему есть и появляются новые.
        Все гениальное — просто. Готов прозакладывать шляпу, что сисадмины времен Червя тоже были абсолютно уверены в том, что такое у них на Юниксе ну просто невозможно. :-|
        • 0
          Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать. Взломать можно все, АБСОЛЮТНО все. Компьютерные системы создают люди, а человеку свойственно ошибаться. Взломать можно даже кипятильник, вопрос только в том, что из этого можно получить. Просто под Windows каждый день появляются сотни вирусов, а раз в пару месяцев появляются достаточно сильные вирусы, которые поражают огромное число компьютеров. Благодаря своей архитектуре, а также тому, что код является открытым (до выхода нового релиза какого-то ПО исходный код читают тысячи людей и находят в нем дыры, которые исправляются еще ДО релиза) дыр в Linux\Unix системах гораздо меньше, но они все-равно есть.
          • +6
            > Я уверен, что сейчас админы, использующие в качестве серверов Windows уверены что это самая безопасная система и что её невозможно взломать.

            Я не знаю откуда у вас такая уверенность, но ни один из множества моих знакомых админов Windows так не считает.
          • 0
            Вирусов (и пандемий) под линуксом нету потому что у виндовс единый дистрибутив, а у линуксов — зоопарк. Слишком сложно учесть всё.
            • 0
              причин этому, разумеется, куда больше
            • 0
              Да ладно вам, все из апстрима берут одно и то же.
            • 0
              в таком случае были бы вирусы для наиболее популярных дистрибутивов вроде Ubuntu
        • +2
          молодой человек. Вы были сисадмином в 1988 году? я еще в пиленках ползал, поэтому судить о том времени не берусь. Но давайте просто рассуждать логически. Давайте просто посмотрим на кол-во вирусов, троянов, степень защиты ОС основанных на UNIX c 1988 по 2009 год. А в частности покажите живые вирусы за 2009 год.
          Внимательно прочитайте строку «Червь пытался использовать программу запуска удаленного интерпретатора rsh для атаки других машин с полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая машина «доверяла» данной.» Вот вам степень защищенности и опыт сисадминов.
          • +1
            Ну я начал сисадминить, вот именно что тем, что называется сегодня «сисадминить», году с 92, если я правильно помню дела прошлые.
            Ну это ладно, не будем «толщиной канала меряться».

            С количеством «вирусов, троянов и прочей нечисти» все обстоит очень просто, чтобы понять достаточно посмотреть на процент подключенных к сети компьютеров с той или иной OS.
            Если раньше, во времена Червя Морриса, UNIX-like OS были практически единственными OS в сети, то сейчас ситуация ровно обратная.
            Сегодня писать вирусы для какой-нибудь VMS или Solaris, в общем, бесмысленно, для достижения сколь-нибудь заметного эффекта.

            Вот, собственно, причина распространения вирусов именно для Windows, а не для какой-нибудь QNX.

            А что с паролями ситуация обстоит по прежнему массово плачевно показывают периодические массовые взломы какого-нибудь Вконтакте.

            Или вы искренне считаете, что пользователи UNIX из какой-то другой п… ды рождаются и в других школах-университетах учатся, чем владельцы паролей sexsexsex или johnsmitpa$$?

            Отсюда вывод — если бы масса пользовательских UNIX-компов была бы достаточно велика, мы бы имели и масовых локальных рутов, и пароли типа выше названных. То есть, по сути, повторение ситуации с Червем.
            И только полная немассовость пользовательских UNIX-систем пока мешает сколь-нибудь значительной эпидемии. И ниаких мистических «апридилений».
            • 0
              Хоть это не модно на хабре, кроме поставленного плюса ещё и отпишусь. Полностью согласен.
            • 0
              Хм… интересно, в качестве паролей программы на brainfuck'е сойдут? :)
            • +1
              Вы опять вспоминаете былые 80-е, и сравниваете их с сегодняшним днем, мол раньше так было и сейчас будет так же если захотеть, это троллинг и не хочу ввязыватся в спор, все что вы перечислили (и я в том числе) есть в интернете, поэтому отвечу коротко:
              Вы хотя бы с 1992 (не считая 1988) следили за развитием Офтопика и к примеру Линукса. Как повышалась степень защиты и т.п. Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?
              П.С. я не админ, но разницу в усточивости Линукса перед офтопиком понимаю.
              Линукс (и БСД) хоть и имеют меньше %, но на них крутятся банки, биржы и т.п. что для кардеров просто оочень лакомый кусок, но для винды даже школьник скачавший троян, поправив его немного, может получить приличный ботнет, дырки в котором не закрываются принцыпиально, мол программеры не могут разобратся в своем коде… хотя хакер с отладчиком его разобрал…
              П.П.С давайте не будем сравнивать стень устойчивости Юниксов и офтопика, разница между ними громадная.
              • 0
                >Как в винде админ — пользователь по умолчанию с пустым паролем (вроде начиная с висты пустой пароль запрещен, не знаю точно)?

                Уж не знаю, кто там где был запрещён в Висте (не видел её), но буквально на прошлых выходных ставил Вин7 «на посмотреть». Ничего не менял, в «систему безопасности» не лез, всё по дефолту.
                Картина маслом: при попытке записать что-нибудь, например, в папку «Program files», вылезает окошко «Вам нужны привилегии администратора для записи в эту папку», а после нажатия на «ОК» (никакого пароля не спросили!) всё прекрасно записывается. В лучшем случае это является следствием пустого пароля. В худшем… я даже не знаю. «Вам сюда нельзя. Но если хочется — то можно».
                Да, кстати, при этом меня не пустили в «C:\Documents and Settings\User\Application Data», сказали «У Вас недостаточно прав на просмотр этого каталога». Вот такая вот охрененная безопасность: нельзя посмотреть свои собственные настройки, зато можно писАть в Program files %)
                • 0
                  Не надо ставить популярные в интернете «сборки» с отключенным или «потвиканным» «для удобства» UAC.
                  В нормальной W7 как и в Vista UAC работает так, как полагается.
                  • 0
                    При запуске каждого екзешника — «А Вы уверены, что хотите его запустить?»
                    При установке каждой программы — «А Вы уверены, что хотите разрешить этой программе модифицировать данные на Вашем компьютере?»
                    При попытке программы велезти в сеть — «А Вы точно хотите разрешить ей вылезти в сеть?»

                    И это — «потвиканный для удобства»? Тогда я боюсь даже представить, что же там в оригинальном, не «потвиканном»… о_О
                    • +1
                      Не надо грязи. В Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам.
                      • 0
                        Где Вы «грязь» увидели? Я всего лишь перечислил ситуации, в которых воочию наблюдал диалоги UAC. Если Вы считаете, что это «грязь» — то я её всего лишь констатирую :)

                        И уж тем более не нужно сравнивать с sudo: получив пароль, скажем, для установки программы, второй раз он не запросится. Обойдётся одним-единственным разом.
                        А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза: первый раз при запуске экзешника, второй раз при попытке доступа в сеть, третий раз при модификации реестра (или куда там нынче конфигурацию пишется).
                        Так что «не надо грязи» ©
                        • 0
                          > А с UAC, если инсталлер вдобавок к основным действиям предполагает получение чего-либо из сети — то диалог вылезет 3 раза:

                          1. И это правильно.
                          2. Кривые программы — давить, возможно даже и таким жестоким способом. «Понабрали по объявлениям»

                          PS. В W7 UAC _сильно_ поправили.
                          • 0
                            Тем самым Вы как бы признаёте, что заявление «в Windows 7 UAC работает точно также, как sudo сами знаете в чем, и появляется по тем же поводам» не соответствует действительности?
                            • 0
                              Если у вас от этого что-то удлиннится — то конечно признаю, я с удовольствием сделаю вам приятное :D
                              Я вообще готов что угодно вам признать, если вы меня вежливо попросите. ;)
                              • 0
                                Удлинниться-то не удлиннится, но вот то, что разговор приобретёт более осмысленный оттенок — факт.
            • 0
              Вот натолкнулся:
              www.xakep.ru/post/18040/default.asp
              посмотрите дату поста… даже в те времена уже смеялись над «вирусы под линукс» ))
              Ну вот еще вспомнилось: Мобильники распространены? какие ОС самые распространенные, и сколько живых вирусов под них?
              Короче, когда будут вирусы под Линукс, БСД, тогда и пишите =)
              • +1
                Ссылка на журнал Ксакеп это безусловно убийственный аргумент, даже не знаю чем крыть. Еще можно найти что-нибудь на ЛОР-е, или, до кучи, на башорге, и тоже прислать ;)
                • +1
                  www.osp.ru/cw/2003/17/64064/
                  это оригинал в рунете, в буржуйсконете оригинал не искал
              • 0
                Автор статьи даже не отличает доллар от фунта… =\
    • +2
      Ну вот потому они и не выживают под никсами, что никсоиды хорошо усвоили урок Червя.
      • –2
        «Не выживают». Давайте-давайте. Веруйте. До следующего Червя.
        • +1
          Бред, сейчас не Черви, а эксплойты, дыры залатываются быстрее чем находятся. И вообще — юниксы того времени — blob-ware, а сейчас open-source в основном, в их модели разработки меньше прорех )
          • 0
            Вот это точно бред, сейчас черви пишутся и плодятся куда круче чем раньше взять хотя бы недавнего зверя — Conficker…
            • +3
              Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008

              не спорю, в применении к Венде.
              Под юникс ничего серьезного с того самого червя и не было
      • 0
        а что там выживать сложно чтоли? на большенстве серверов нет IDS а бывает и фаервола. ClamAV ставится аще всего только для проверки почты. 1 удаленный эксплойт и возможно локальный рут эксплойт и вот вам второй моррис. считаю дело времени
        • +3
          Сейчас уже не делают вирусы просто чтобы всё сломать. Вирусы пишут для зарабатывания денег. Поэтому, большинство троянов крадут пароли и рассылают с заражённой машины спам. И основная задача — остаться незамеченным. «Второй великий червь» просто никому не выгоден и не нужен.
          • +1
            я не говорю ни о зарабатывании денег ни о том чтобы всё порушить. черьвь морриса давал слишком большую нагрузку и это был его баг а не цель. я о том что комунибудь может прийти в голову идея сделать это Just For Fun или ради эксперимента
        • 0
          Вы это расскажите владельцам ботнетов, сложно сделать выживаемый в Линуксе троян или нет.
          Или еще лучше сделайте свой троян, я его протестирую на своей тачке.
          • 0
            естественно если вы знаете что у вас троян или червь то вы его найдете. но червь может сидеть тихо и допустим делать 1 попытку взлома в 10 минут.
            я не про какогонибудь конкретно взятого админа а про большую их часть. для того чтобы большенство админов не заметило ничего просто не нужно сильно драть ресурсы и сетевой трафик, не палиться в процессах. скаже прикрепленный сошник к какомунибудь демону.
            • 0
              откуда у меня или у обычного пользователя Линукса появится сошник с трояном внутри?
              А еще лучше как сделать так, чтобы он работал на любой системе (архитектуре, дистрибьютиве, других дефолтных настройках, к примеру ключи монтирования, файловая система).
              И да кстате, тред о червях, а это еще интереснее. Червь должен распространятся сам, любым способом, и остатся в системе (если червь нацелен именно на Юникс, а не использует его как перевалочный пунк).
              • 0
                в ядре линукс 10 миллионов строк. нужесли вы думаете что там нет критических уязвимостей под которые можно написать удаленный эксплойт. а если мы возьмем ещё демоны SSH, FTP, HTTP? теоретически можно собрать пачку эксплойтов и зашить в червя(мы же всётаки про червя говорим). насчет переносимости. если брать только линукс как самую распространенную систему то можно и одним бинарником с минимум зависимостей обойтись. если нужна переносимость в риделах POSIX можно собирать из сурсов, загруженных шеллкодом. либо вобще делать червя полостью на sh. вариантов море. естественно это всё теория ненадо так воспринимать…
          • 0
            Ага-ага.
            То есть руткиты это в ведомстве Гейтса придумали, чтобы UNIX очернить, да, и это фантастика и выдумки?

            А скомпрометированные ключи подписей, и зараженные пакаджи соответственно, это мне почудилось?

            А совсем недавняя история с фальшивыми «кодеками под MacOS» это тоже не в вашем мире?
    • 0
      О виндовых вирусах тоже будет написано позже и не мало :)
      • 0
        И про oneHalf пожалуйста тоже ;-)
        • 0
          В разработке, а вот следующий пост по теме
        • 0
          Ооо… OneHalf вспоминаю со скупой мужской слезой, первый вирус с которым я столкнулся :) однако-ж всетки насколько он был хорош, задумка шифровать пользовательские данные данные — это нечто.
          • 0
            Это был вирус, по которому мне дали первый мой ник :)

            Было за что

            /me смущенно ковыряет сандалетой пол
            • 0
              Вы его написали или Вы просто послужили причиной заразы всех окружающих? ;)
              • 0
                Поначалу думали первое, потом оказалось второе. У меня в ту пору было штук 40 пятидюймовых дискет, на которых этого Ваньхальфа было… немало.

                К тому же в том месте стояла сеточка, по ней активно гамились в netwars, вирь активно гулял по сетке и в уже зараженных файлах себя не находил (он же полиморфный), заражая их еще раз.

                Когда эпидемию лечили, народ очень дивился, как это в netwars.exe док находит по 7-8 экземпляров мирно (? О.о ) сосуществующего вируса.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +5
    Мен больше всего понравилась подача и изложение. Редко когда удается до конца прочесть такие большие посты несмотяр на интересность предмета. Спасибо.
    • 0
      Я рад, спасибо за внимание!
  • +2
    Холиварить на тему под какую систему вирусов больше не стоит, тогда вирусы писали под никсы потому что они были больше распространены и только, тоже самое сейчас с виндами, если никсы отвоюют большую чем сейчас долю рынка доля вирусов под никсы так же вырастет. Количество вирусов и популярность системы напрямую коррелируют так что спор бессмысленен, на мой взгляд, а админам еще раз посоветую побольше паранойи в работе и все у вас будет хорошо.
    • +1
      Да ну? Сравните серверный сегмент рынка. Винда там не валяется. И где вирусы? 2 с половиной malware, которые не работают.
      • 0
        На серверном сегменте рынка потери данных идут за счет других факторов. Насколько я могу судить — за счет человеческого.

        Большая защищенность на одном участке заставляет злоумышленников искать слабые места на другом.

        Это я к тому, что вирус — инструмент.
  • –1
    Что-то текст почти один в один как в книге «Атака на интернет»

    bugtraq.ru/library/books/attack/chapter09/04.html
    • 0
      Вы могли бы по ссылкам посмотреть — я в конце ссылаюсь на главу из этой книжки

      — Подробный разбор устройства Червя

      так что ваши обвинения в плагиате бессмысленны и обидны, хотя если вы не можете отличить эти статьи, то значит вы сами не очень внимательно читали ту самую книжку, которой щеголяете.
      • –1
        Никаких обвинений в плагиате я не выдвигал. Книжкой не щеголял. Читал я её как раз таки внимательно, в бумажном варианте, именно поэтому зацепился за дословные фразы из книги.

        Ссылки — ссылками, а прямое цитирование стоит выделять. Или так и скажите, что это просто компиляция из разных источников.
        • 0
          Это в любом случае компиляция — меня там не было и с червем Морриса я лично не боролся.
          • –1
            Нужно в VMWare поставить несколько субжей, и запустить туда того червя :)
  • 0
    Первое что читал про это «произведение» это отчет отслеживания развития вируса с поминутной распиской распространения и масштабы нанесенного вреда за период действия. 4 страницы логов тогда очень впечатлило. случаем не знаете где можно найти его? а то я сам не помню где видел. может кто сталкивался?
  • 0
    А что потом стало с автором вируса?
  • +1
    >Дополнительная возможность отладочного режима заключается в том, чтобы посылать сообщения,
    >снабженные программой-получателем, которая запускается на удаленной машине и осуществляет
    >прием сообщения. Эта возможность, не предусмотренная протоколом SMTP, использовалась
    >разработчиками для отладки программы и в рабочей версии была оставлена по ошибке.
    Мда… Думал только в политике историю переписывают, а оказывается ещё и в ИТ…

    Не было никакой «ошибки» по которой «оставили». Эрик специально сделал в сендмейле backdoor, чтобы было проще перекомпилировать мегапочтомонстра без пинания админа. Каждый раз, когда Эрику нужно было скомпилировать сендмыл, ему требовалось разрешение админа, т.к. у него не было рутовых прав, а сендмылу они были ой как нужны. А когда его это достало, то врисовал только ему известную дырку и молчок. А Моррис заметил. Молодец.

    Надо было ещё тогда прибить сендмыл. Но Бернштайн был ещё маленький для кмыла…

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.