Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-5

По 13 числам месяца червь последовательно заражает все исполняемые файлы машины, заполняя их случайным содержимым. После этого восстановить бинарники уже не удается. Кроме этого, вирус заражает все .rar-архивы, добавляя в них свою копию. В теле червя хранится зашифрованный список адресов, с которых зараза отправляет себя по электронной почте, находя тем самым новую жертву в Сети ;).

Другие платформы

К сведению, черви бывают не только под Windows и Linux, а под любую систему, где существует какая-нибудь удаленная уязвимость. Примером такой заразы является червяк под SunOS, имеющий название Sadmind. Для размножения червь использует старую багу в демоне sadmind, о которой не раз писал bugtraq (http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba). Для поиска новой машины червяк случайно генерирует два первых числа IP-адреса, а затем перебирает полный ряд комбинаций для остальной части. После проникновения вирь создает файл .rhosts с отменой аутентификации по RPC и копирует себя на атакуемый компьютер в каталог "/dev/cuc". Так как все это происходит под root-правами, червь заносит себя в скрипт автозапуска, чтобы быть активным при следующем старте машины.

Также существуют свои черви под MacOS и другие менее известные операционки. Правда, они не являются революционными, так как в Сети очень мало компьютеров с древними системами.

Я пришел с миром!

Как это ни парадоксально, существуют червяки, которые... лечат компьютеры от других червей. Видимо, у некоторых вирмейкеров-энтузиастов возникло желание очистить глобал от грязи. Такие экземпляры также были признаны вирусами, хотя они и не приносят вреда. Это обуславливается тем, что программа загружает процессор и оперативную память, тем самым отрицательно сказываясь на производительности системы.

Примером такого "полезного" червяка является CodeGreen. Проникнув в систему тем же путем, что и CodeRed, он уничтожает червя (если, конечно, он там присутствует), а также скачивает и устанавливает патч от Microsoft. В теле вируса содержится следующий текст:

Des HexXer's CodeGreen V1.0 beta

CodeGreen has entered your system

it tried to patch your system and

to remove CodeRedII's backdoors

Этот текст доказывает добрые намерения создателя червяка.

Аналогичным античервяком под Linux является Cheese. Попадая в систему, он выполняет ряд действий, которые направлены на уничтожение сетевого червя Ramen. В первую очередь, Cheese просматривает файл /etc/inetd.conf и удаляет из него все запущенные бэкдоры (которые были предварительно оставлены Ramen'ом). Затем все стандартно: генерируются случайные IP-адреса, на которые античервь пытается законнектиться. В удачном случае он закачивает себя на удаленную машину, как это делал Ramen (на сервере выполняется код, который закачивает вирус в формате UUENCODE с помощью популярной программы lynx). После этого червяк активизируется вновь и размножение повторяется.