Читаем Компьютерное подполье. Истории о хакинге, безумии и одержимости полностью

Сообщение о черве W.COM 

Р. Кевин Оберман

Технический отдел

Национальная лаборатория имени Лоренса Ливермора

16 октября 1989 года.

Приводим описание работы червя W.COM, основанное на исследовании двух первых версий. Техника репликации предполагает небольшое изменение кода, на что указывает источник нападения и накапливаемая в результате самообучения червя информация.

Весь анализ был сделан в большой спешке, но я считаю, что все факты достоверны. Для начала – описание программы:

1. Программа удостоверяет, что работает в директории, к которой сам владелец имеет полный доступ (с правами чтения, записи, исполнения и удаления файлов).

2. Программа проверяет, не работает ли уже другая копия червя, для чего она ищет процесс с первыми пятью знаками NETW_. В случае его обнаружения она самоуничтожается и прекращает работу. (ПРИМЕЧАНИЕ: Быструю проверку на зараженность можно провести, поискав процесс, начинающийся с NETW_. Это можно сделать с помощью команды SHOW PROCESS.

3. Затем программа изменяет пароль по умолчанию учетной записи DECnet случайной последовательностью двенадцати или более знаков.

4. Информация о пароле, использованном для доступа в систему, отправляется пользователю GEMTOP[11] на узле SPAN 6.59. Некоторые версии могут иметь другие адреса.

5. Процесс меняет свое имя на NETW_ плюс случайно выбранный набор цифр.

6. Затем программа смотрит, имеет ли SYSNAM привилегию. Если да, то она замещает сообщение системы своим баннером.

WORMS AGAINST NUCKLEAR KILLERS