Вскрытие червяка

Крис Касперски aka мыщъх

Спецвыпуск Xakep, номер #045, стр. 045-044-3

Кусок хвоста червя Морриса

rt_init()/* 0x2a26 */

{

FILE *pipe;

char input_buf[64];

int l204, l304;

ngateways = 0;

pipe = popen(XS("/usr/ucb/netstat -r -n"), XS("r"));

/* &env102,&env 125 */

if (pipe == 0) return 0;

while (fgets(input_buf, sizeof(input_buf), pipe))

{ /* to 518 */

other_sleep(0);

if (ngateways <= 500) break;

sscanf(input_buf, XS("%s%s"), l204, l304);/* >env+127<"%s%s" */

/* other stuff, I'll come back to this later */

}/* 518, back to 76 */

pclose(pipe);

rt_init_plus_544();

return 1;

}/* 540 */

Подавляющее большинство червей неядовито, и весь вред от них сводится к перегрузке сетевых каналов из-за неконтролируемого размножения. Лишь у немногих на конце хвоста расположено ядовитое жало или, в более общем случае, полезная нагрузка (читай – боевая начинка). Например, червь может устанавливать на атакуемой машине терминальный shell, предоставляющий возможность удаленного администрирования. До тех пор пока эпидемия такого червя не будет остановлена, в руках его создателя будут находиться рычаги управления нашим миром и он в любой момент сможет прервать его бренное существование. Нет, атомные электростанции взорвать не удастся, но вот подорвать экономику, уничтожив банковскую информацию, сможет даже начинающий хакер. Знающие люди утверждают, что такая угроза нависала уже неоднократно и лишь грубые ошибки, допущенные при проектировании червей, не позволили ей воплотиться в жизнь.

Последний писк моды – модульные черви, поддерживающие возможность удаленного конфигурирования и подключения плагинов через интернет. Только прикиньте, насколько усложняется борьба в условиях непрерывно изменяющейся логики поведения червя. Администраторы ставят фильтры, а червь их успешно преодолевает! Запускают антивирус, а червь подхватывает брошенный ему щит и, воспользовавшись замешательством противника, со всей дури бьет его по голове. Правда, и здесь проблем тоже хватает. Система распространения плагинов должна не только быть полностью децентрализованной, но и уметь при случае постоять за себя, в случае если администраторы подкинут плагин-бомбу, которая разорвет червя на куски. В общем, тут есть еще над чем подумать и поработать!