- WANK Worm
-
wank - wank - wank :D WANK Worm (W.COM) — червь, который 16 октября 1989 года атаковал сеть NASA SPAN, через системы VAX/VMS использующие DECnet. Червь использует две особенности DECnet/VMS для того, чтобы распространяться. Первая — это учётная запись DECnet, создаваемая по умолчанию, которая предназначена для пользователей, не имеющих собственного логина в системе, и которая даёт возможность пользоваться системой более или менее анонимно. Червь использовал эту учётную запись для того, чтобы скопировать себя в систему, а затем использовал трюк с «TASK 0», для того, чтобы запустить копию в удалённой системе.
Описание программы:
1. Программа проверяет, имеет ли пользователь полный доступ к текущему каталогу (Чтение, Запись, Исполнение и Удаление).
2. Программа проверяет, не запущена ли другая копия её самой. Она ищет процесс, первые пять букв названия которого «NETW_». Если такой процесс найден, то программа удаляет себя (файл) и завершает свой процесс.
3. Программа изменяет пароль для учётной записи DECNET, создаваемой по умолчанию, на случайную строку длиной не менее 12 символов.
4. Информация о пароле, используемом для доступа к системе, отсылается пользователю GEMTOP на узле SPAN 6.59. Некоторые версии могут использовать другой адрес.
5. Процесс изменяет свое название на «NETW_», за которой следует случайное число.
6. Затем она проверяет, имеется ли у нее права на SYSNAM. Если да, то она меняет системное сообщение-приглашение на:
W O R M S A G A I N S T N U C L E A R K I L L E R S _______________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \___________________________________________________/ \ / \ Your System Has Been Officically WANKed / \_____________________________________________/ You talk of times of peace for all, and then prepare for war.7. Если у нее есть SYSPRV, то она отключает почту для учётной записи SYSTEM.
8. Если у нее есть SYSPRV, то она изменяет процедуру входа в систему так, чтобы, по-видимости, удалять все пользовательские файлы. (На самом деле этого не происходит).
9. Программа сканирует таблицу логических имен (logical name table) учётной записи и пытается изменять поле FIELD на известный пароль с доступом из любого места и полными привилегиями.
10. Она продолжает попытки получить доступ к другим системам, выбирая номера узлов случайным образом. Она использует PHONE, чтобы получить список активных пользователей в удалённой системе.
11. Программа пытается получить доступ к файлу RIGHTLIST и получить доступ к удалённым системам с найденными именами пользователей, а также со «стандартными» именами, включёнными в тело червя. Программа использует те же пароли, которые пользователь использует в локальной системе, или пустые пароли. Программа сохраняет все найденные таким образом учётные записи.
12. Программа ищет учётную запись, которая позволяет доступ к SYSUAF.DAT.
13. Если привилегированная учётная запись найдена, программа копируется в эту учётную запись и запускается. Если такая учётная запись не найдена, программа копируется в одну из найденных учётных записей в случайно выбранной системе.
14. Как только работа с системой подошла к концу, программа выбирает случайным образом другую систему и продолжает работу.
15. Каждый следующий потомок WANK получает от программы родителя всю накопленную информацию об аккаунтах и паролях с уже взломанных машин.
Ссылки
Категория:- Компьютерные вирусы и сетевые черви
Wikimedia Foundation. 2010.
