Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #045, стр. 045-044-6, Вскрытие червяка

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #45, АВГУСТ 2004 г.

Вскрытие червяка

Крис Касперски aka мыщъх

Спецвыпуск Xakep, номер #045, стр. 045-044-6

Для проникновения в адресное пространство чужого процесса червь должен либо создать в нем удаленный поток, вызвав функцию CreateRemoteThread, либо пропатчить непосредственно сам машинный код, вызвав WriteProcessMemory (разумеется, речь идет лишь об NT-подобных системах, UNIX требует к себе принципиально иного подхода).

Как вариант, можно прописаться в ветке реестра, ответственной за автоматическую загрузку динамических библиотек в адресное пространство каждого запускаемого процесса: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Тогда червь получит полный контроль над всеми событиями, происходящими в системе, например, блокируя запуск неугодных ему программ. Интересно, сколько штанов протрет администратор, прежде чем разберется, в чем дело?

Окопавшись в системе, червь приступает к поиску новых жертв и рассылке своей головы по подходящим адресам; предварительно он уменьшает свой биологический счетчик на единицу, а когда тот достигнет нуля – самоликвидируется.

Таков в общих чертах жизненный цикл червя, такова его карма.

Заключение

Черви приходят из мрака небытия, рождаясь в подсознании своих создателей, и уходят туда же. Черви не умирают. Благодаря новым идеям они трансформируются, перевоплощаются. Будущее всемирной сети в ваших руках, друзья.

Данная статья ни в коем случае не пропагандирует создание червей. Помните, в России такого рода деятельность уголовно наказуема.

Червями называют разновидность вирусов, размножающуюся без участия человека.

Голова у червя может быть и не одна, тогда он может поражать несколько типов серверов, например, MS SQL, MS IIS и SendMail.

Найти дескриптор TCP\IP-соединения можно перебором всех сокетов через функцию getpeername.

Червяку лучше не создавать новых соединений, потому что ему вряд ли удастся пробиться через грамотно настроенный брандмауэр.

Окопавшись в системе, червь приступает к поиску новых жертв и рассылке своей головы по подходящим адресам.

Нет ничего хуже для червя, чем прописаться в HKLM\Software\Microsoft\Windows\CurrentVersion\Run.

Назад на стр. 045-044-5 Содержание