WANK Worm
WANK Worm (W.COM) — червь, который 16 октября 1989 года атаковал сеть NASA SPAN, через системы VAX/VMS использующие DECnet. Червь использует две особенности DECnet/VMS для того, чтобы распространяться. Первая — это учётная запись DECnet, создаваемая по умолчанию, которая предназначена для пользователей, не имеющих собственного логина в системе, и которая даёт возможность пользоваться системой более или менее анонимно. Червь использовал эту учётную запись для того, чтобы скопировать себя в систему, а затем использовал трюк с «TASK 0», для того, чтобы запустить копию в удалённой системе.
Описание программы:
1. Программа проверяет, имеет ли пользователь полный доступ к текущему каталогу (Чтение, Запись, Исполнение и Удаление).
2. Программа проверяет, не запущена ли другая копия её самой. Она ищет процесс, первые пять букв названия которого «NETW_». Если такой процесс найден, то программа удаляет себя (файл) и завершает свой процесс.
3. Программа изменяет пароль для учётной записи DECNET, создаваемой по умолчанию, на случайную строку длиной не менее 12 символов.
4. Информация о пароле, используемом для доступа к системе, отсылается пользователю GEMTOP на узле SPAN 6.59. Некоторые версии могут использовать другой адрес.
5. Процесс изменяет своё название на «NETW_», за которой следует случайное число.
6. Затем она проверяет, имеется ли у неё права на SYSNAM. Если да, то она меняет системное сообщение-приглашение на:
W O R M S A G A I N S T N U C L E A R K I L L E R S
_______________________________________________________________
\__ ____________ _____ ________ ____ ____ __ _____/
\ \ \ /\ / / / /\ \ | \ \ | | | | / / /
\ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / /
\ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ /
\_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/
\___________________________________________________/
\ /
\ Your System Has Been Officically WANKed /
\_____________________________________________/
You talk of times of peace for all, and then prepare for war.
7. Если у неё есть SYSPRV, то она отключает почту для учётной записи SYSTEM.
8. Если у неё есть SYSPRV, то она изменяет процедуру входа в систему так, чтобы, по-видимости, удалять все пользовательские файлы. (На самом деле этого не происходит).
9. Программа сканирует таблицу логических имен (logical name table) учётной записи и пытается изменять поле FIELD на известный пароль с доступом из любого места и полными привилегиями.
10. Она продолжает попытки получить доступ к другим системам, выбирая номера узлов случайным образом. Она использует PHONE, чтобы получить список активных пользователей в удалённой системе.
11. Программа пытается получить доступ к файлу RIGHTLIST и получить доступ к удалённым системам с найденными именами пользователей, а также со «стандартными» именами, включёнными в тело червя. Программа использует те же пароли, которые пользователь использует в локальной системе, или пустые пароли. Программа сохраняет все найденные таким образом учётные записи.
12. Программа ищет учётную запись, которая позволяет доступ к SYSUAF.DAT.
13. Если привилегированная учётная запись найдена, программа копируется в эту учётную запись и запускается. Если такая учётная запись не найдена, программа копируется в одну из найденных учётных записей в случайно выбранной системе.
14. Как только работа с системой подошла к концу, программа выбирает случайным образом другую систему и продолжает работу.
15. Каждый следующий потомок WANK получает от программы родителя всю накопленную информацию об аккаунтах и паролях с уже взломанных машин.
Напишите отзыв о статье "WANK Worm"
Ссылки
- [www.ciac.org/ciac/bulletins/a-02.shtml CIAC Advisory Notes A-2: The W.COM Worm affecting VAX VMS Systems]
- [en.wikipedia.org/wiki/Underground_(Suelette_Dreyfus_book) Книга Undeground Сьюлетта Дрейфус (в том числе описывается атака вирусом WANK компьютеров NASA)]
Отрывок, характеризующий WANK Worm
– Осьмнадцатой.– Так зачем же вы здесь? вам давно бы впереди должно быть, теперь до вечера не пройдете.
– Вот распоряжения то дурацкие; сами не знают, что делают, – говорил офицер и отъезжал.
Потом проезжал генерал и сердито не по русски кричал что то.
– Тафа лафа, а что бормочет, ничего не разберешь, – говорил солдат, передразнивая отъехавшего генерала. – Расстрелял бы я их, подлецов!
– В девятом часу велено на месте быть, а мы и половины не прошли. Вот так распоряжения! – повторялось с разных сторон.
И чувство энергии, с которым выступали в дело войска, начало обращаться в досаду и злобу на бестолковые распоряжения и на немцев.
Причина путаницы заключалась в том, что во время движения австрийской кавалерии, шедшей на левом фланге, высшее начальство нашло, что наш центр слишком отдален от правого фланга, и всей кавалерии велено было перейти на правую сторону. Несколько тысяч кавалерии продвигалось перед пехотой, и пехота должна была ждать.
Впереди произошло столкновение между австрийским колонновожатым и русским генералом. Русский генерал кричал, требуя, чтобы остановлена была конница; австриец доказывал, что виноват был не он, а высшее начальство. Войска между тем стояли, скучая и падая духом. После часовой задержки войска двинулись, наконец, дальше и стали спускаться под гору. Туман, расходившийся на горе, только гуще расстилался в низах, куда спустились войска. Впереди, в тумане, раздался один, другой выстрел, сначала нескладно в разных промежутках: тратта… тат, и потом всё складнее и чаще, и завязалось дело над речкою Гольдбахом.
Не рассчитывая встретить внизу над речкою неприятеля и нечаянно в тумане наткнувшись на него, не слыша слова одушевления от высших начальников, с распространившимся по войскам сознанием, что было опоздано, и, главное, в густом тумане не видя ничего впереди и кругом себя, русские лениво и медленно перестреливались с неприятелем, подвигались вперед и опять останавливались, не получая во время приказаний от начальников и адъютантов, которые блудили по туману в незнакомой местности, не находя своих частей войск. Так началось дело для первой, второй и третьей колонны, которые спустились вниз. Четвертая колонна, при которой находился сам Кутузов, стояла на Праценских высотах.
В низах, где началось дело, был всё еще густой туман, наверху прояснело, но всё не видно было ничего из того, что происходило впереди. Были ли все силы неприятеля, как мы предполагали, за десять верст от нас или он был тут, в этой черте тумана, – никто не знал до девятого часа.
Было 9 часов утра. Туман сплошным морем расстилался по низу, но при деревне Шлапанице, на высоте, на которой стоял Наполеон, окруженный своими маршалами, было совершенно светло. Над ним было ясное, голубое небо, и огромный шар солнца, как огромный пустотелый багровый поплавок, колыхался на поверхности молочного моря тумана. Не только все французские войска, но сам Наполеон со штабом находился не по ту сторону ручьев и низов деревень Сокольниц и Шлапаниц, за которыми мы намеревались занять позицию и начать дело, но по сю сторону, так близко от наших войск, что Наполеон простым глазом мог в нашем войске отличать конного от пешего. Наполеон стоял несколько впереди своих маршалов на маленькой серой арабской лошади, в синей шинели, в той самой, в которой он делал итальянскую кампанию. Он молча вглядывался в холмы, которые как бы выступали из моря тумана, и по которым вдалеке двигались русские войска, и прислушивался к звукам стрельбы в лощине. В то время еще худое лицо его не шевелилось ни одним мускулом; блестящие глаза были неподвижно устремлены на одно место. Его предположения оказывались верными. Русские войска частью уже спустились в лощину к прудам и озерам, частью очищали те Праценские высоты, которые он намерен был атаковать и считал ключом позиции. Он видел среди тумана, как в углублении, составляемом двумя горами около деревни Прац, всё по одному направлению к лощинам двигались, блестя штыками, русские колонны и одна за другой скрывались в море тумана. По сведениям, полученным им с вечера, по звукам колес и шагов, слышанным ночью на аванпостах, по беспорядочности движения русских колонн, по всем предположениям он ясно видел, что союзники считали его далеко впереди себя, что колонны, двигавшиеся близ Працена, составляли центр русской армии, и что центр уже достаточно ослаблен для того, чтобы успешно атаковать его. Но он всё еще не начинал дела.
