Черви в паутине

UFO (ufobject@mail.ru)

Спецвыпуск Xakep, номер #015, стр. 015-068-1

Захотелось мне однажды поковырять сеть на предмет всякой живности. Например, сетевых червей. А что, эти гады ползут по всему Инету, устраивают нехилый трафик и веселую жизнь пользователям :). А главное, сами находят своих жертв. Давай теперь мы их поищем и покажем, кто тут хозяин природы и кому положено стоять во главе пищевой цепочки.

Сетевой дарвинизм

По запросу на поисковике мне вылетела целая куча ссылок. До этого я почему-то думал, что интернет-червей довольно мало, но теперь понял, что очень круто ошибался. Конечно же, девяносто процентов из тех червячков, которых я нашел, являются модификациями когда-либо созданных червей-прародителей, но попадались такие интересные модификации, что у меня антенны торчком вставали :). Единственное, что меня сильно огорчило, - это то, что нынешние вирьмейкеры не соблюдают совершенно никаких правил оптимизации своих созданий. Вот раньше, в DOS'овские времена, хорошие вирусы писались на АСМе, Паскале и иногда на C. Естественно, лучшие вирусы получались на Assembler'е, так как их скорость была максимальной, а размер - минимальным. Взять хотя бы тот же самый Win95.CIH. Его еще не одно поколение вирьмейкеров помнить будет! А сейчас? Сейчас кодеры стали до того ленивыми, что пишут вирусы на Visual Basic! Да где это видано :)? Если бы мне года два назад кто-нибудь сказал, что вири будут писаться на визуальных языках, я бы со смеху помер, а теперь это считается в порядке вещей :(. Вот такая вот эволюция... Конечно же, я не утверждаю, что вирусы - это хорошо, но уж если ты их пишешь, то пиши нормально. И еще одна вещь, которую я бы хотел высказать: больше всего меня взбесило то, что чуть ли не половина всех созданных червячков размножается через Outlook. Нашел какой-то чел способ пересылки через письма этого почтовика, и все начинают повторять за ним. Неужели сложно придумать что-нибудь свое? Что-то новое? Ну, ладно. Не буду вгонять тебя в тоску своими проповедями, а лучше расскажу про тех животных, которые активно кишат в наше время в сети. Начнем?

I-Worm.Melting

Давай для начала рассмотрим интересного с точки зрения изучения, но ламероватого в исполнении нет-червяка - I-Worm.Melting. Червь представляет собой виндовую EXE'шку, которая распространяется по мылу и занимает всего 17 Кб. Опять же страдает бедный Outlook. При активизации червь запускает встроенный в него скрин-сейвер и, пока юзверь любуется имитацией плавления своего монитора, создает письма в Outlook с сабжем "Fantastic Screensaver". Текст письма содержит следующее сообщение:

"Hello my friend!

Attached is my newest and funniest Screensaver, I named it MeltingScreen. Test it and tell me what you think.

Have a nice day my friend.

p.s.: Please install the Runtime Library for VB 5.0, before you run the ScreenSaver".

Интересен сей червь тем, что разработчики постарались и не стали банально прикреплять свое творение к письмам в виде какой-нибудь порнухи, а придумали грамотную легенду - замаскировав его под скрин-сейвер. А почему "ламероватый червяк"? Да потому, что сам вирь требует установить библиотеки для VB 5.0 (так как червь написан именно на этом языке), что есть несомненный sux - хороший вирус должен быть написан так, чтобы мог самостоятельно заражать любую среднестатистическую машину.