Перейти к содержанию
TANUKI

У червя Морриса почти юбилей!

Recommended Posts

TANUKI

2 ноября 1988 года Роберт Моррис младший (Robert Morris), аспирант факультета информатики Корнельского Университета (США) инфицировал своим творением большое количество

компьютеров, подключенных к сети Internet. Эта сеть объединяет

машины университетских центров, частных фирм и правительственных

агенств,включая Национальное управление по аэронавтике и исследования космического пространства, а также некоторые военные НИИ и лаборатории.

Его программа содержала ошибку, вызвавшую превышение скорости размножения и распространения по сравнению с задуманной. В результате в течение нескольких часов вирус проник в значительное количество компьютеров. Вирус Морриса поражал только компьютеры типа SUN 3 и VAX, которые использовали варианты ОС UNIX версии 4BSD. В процессе работы вирус оставлял необычные файлы в каталоге /usr/tmp на некоторых машинах и странные сообщения в log-файлах некоторых утилит, в частности, управляющей почтой утилиты SendMail.

Для своего распространения вирус использовал некоторые дефекты

стандартного программного обеспечения, установленного на многих

эксплуатирующих UNIX системах. Он также использовал механизм,

предназначенный для облегчения доступа к удаленным компьютерам в

локальных сетях. Соответствующие исправления были внесены буквально на следующий день после атаки вируса.

Вирус состоял из двух частей: главной программы и программы,

обеспечивающей его распространение. Главная программа после запуска на очередной машине собирала информацию относительно других машин в сети, с которыми данная ЭВМ имеет связь. Она выполняла эту работу с помощью анализа конфигурационных файлов и путем прогона системной утилиты, которая дает информацию о текущем состоянии соединений в сети. Затем она использует определенные недостатки программного обеспечения для пересылки себя на другие машины.

Пересылка выполнялась специальной частью вируса, называемой модулем распространения. Этот модуль представляет собой исходный текст программы, состоящей из 99 строк на языке Си, которые должны быть откомпилированы и выполнены на удаленной машине. Для этого исходный текст должен быть сначала передан очередной жертве (используя способ, кратко описываемый ниже), а затем откомпилирован и выполнен с тремя аргументами: сетевой адрес инфицирующей машины (т.е. ЭВМ, с которой происходит заражение), количество сетевых портов, которые нужно соединить с этой машиной для передачи основных файлов вируса и

"магическое число", которое использовалось как однократная проверка паспорта. Если инфицирующая машина не получала в ответ от посланного ею модуля распространения этого магического числа, она немедленно отсоединялась от этой машины. Это, по-видимому, было сделано в расчете на предотвращение попыток получения файлов вируса путем имитации действий модуля распространения.

В самом модуле распространения были предприняты определенные усилия по маскировке. Для этой цели он обнулял свою командную строку, и немедленно создавал собственную копию. Если в процессе пересылки файлов с инфицирующей машины происходил сбой, то модуль распространения сначала удалял все пересланные файлы, а лишь затем возвращал управление.

Как уже указывалось, после запуска на очередной жертве модуль

распространения обеспечивал пересылку всех файлов вируса для машин этого типа (SUN или VAX). Каждый файл представлял собой версию вируса для определенной архитектуры ЭВМ. Кроме того, модуль распространения обеспечивал получение еще одной своей копии для рассылки по очередным сетевым адресам. Хотя в модуле распространения предусматривалась пересылка до 20 файлов, только три на самом деле пересылались данной версией вируса. Это породило гипотезы о том, что Моррис планировал разработки более совершенной версии и что эта версия могла пересылать другие командные файлы, паспорта пользователей или, возможно, вирусы для конкретного типа ЭВМ.

После пересылки загрузочных модулей, модуль распространения

обеспечивал их сборку с местной версией системной библиотеки. Затем эти программы вызывались одна за другой и их действие заключалось в попытке раскрыть пароли пользователей, работающих на данной машине. Если это не удавалось, то вирус рассылал модуль распространения по всем адресам, найденным в списке соответствующего "взломанного" абонента. Если ни один

из методов дешифровки паролей не срабатывал, то машина, породившая модуль распространения, обеспечивала удаление с диска всех улик (т.е, файлов, созданных в процессе работы вируса).

Исторические замечания

Как уже указывалось, вирус разработал Роберт Моррис младший,

аспирант Корнельского университета. Вирус был запущен в сеть

приблизительно между 12 и 13 часами 2 ноября 1988 года. Из-за ошибки, вызвавшей превышение скорости размножения и распространения по сравнению с задуманной, в течении нескольких часов (к концу дня) вирус заразил порядка 6000 компьютеров (данная оценка основана на экстраполяции и не претендует на особенную точность). Всего к сети Internet было подключено

более 60 000 компьютеров. Пораженные компьютеры были расположены на значительной территории (Массачусетский технологический институт, Калифорнийский университет в Беркли, университет в Пэдью, Стенфордский университет и др.).

Наиболее заметным эффектом при распространении вируса, помимо

некоторых необычных сообщений операционной системы, была все же

непрерывно возраставшая нагрузка пораженных вирусом машин. По истечении некоторого времени некоторые машины оказались настолько загруженными распространением копий вируса, что не были способны выполнять никакой полезной работы; некоторые машины исчерпали память или таблицу текущих процессов и их приходилось перегружать.

Это существенно затруднило обмен сообщениями и координацию работы по уничтожению вируса, поскольку, судя по репортажам, большинство американских программистов привыкло пользоваться электронной почтой. Задержки привели к потере очень ценных сообщений, посланных пользователем, который по-видимому знал детали работы вируса или они были сообщены ему Моррисом, испугавшимся последствий своего "эксперимента".

Тем не менее, сеть оставалась работоспособной и между

программистами шел интенсивный обмен сообщениями.

Утром 3 ноября персонал Калифорнийского университета в Беркли и

Массачусетского технологического института (МТИ) получили копии вируса и начали его анализ. Общим опасением было, что к моменту, когда будет изготовлено противоядие, системные файлы будут изменены или разрушена некоторая информация. К пяти часам вечера 3 ноября группа исследователей в Университете в Беркли разработала серию мер для прекращения его дальнейшего распространения. Соответствующее сообщение было передано по

сети, однако его распространение было задержано нагрузкой, созданной распространением вируса и отключением некоторых частей сети "на карантин". К 9 часам вечера другой простой и эффективный метод борьбы с распространением вируса был найден в Университете Пэдью и быстро распространен всем заинтересованным пользователям. К концу суток с вирусом было покончено.

Дисассемблирование и обратная трансляция вируса представляла собой достаточно сложную задачу, поскольку Моррисом были предприняты специальные меры по шифровке текстовых строк. Основная часть работы была выполнена Марком Эйчиным (Маrk Eichin), специалистом по дисассемблированию и ассемблированию ROM, который одновременно являлся и координатором работы других программистов. Основная работа по реконструкции вируса была завершена в субботу. Тогда же исследователями, после жарких дискуссий с остальными группами, занимавшимися

дисассемблированием и реконструкцией вируса, проходивших по сети, было принято решение не распространять восстановленный исходный текст вируса и, в то же время, свободно распространять информацию об алгоритмах, используемых данным вирусом. Это, конечно, несет определенную опасность, что они могут быть использованы для написания новых вирусов, однако уровень знаний, требуемых для этой цели, неизмеримо выше, чем умение перекомпилировать программу с двумя или тремя измененными строчками.

На следующее утро, в пятницу 4 ноября состоялась пресс-конференция в Массачусетском технологическом институте, в ходе которой получена основная часть информации, приведенной в прессе.

Во вторник 8 ноября в Балтиморе состоялась конференция по вирусу Морриса, на которой подробно обсуждалась хронология событий, предпринятые действия и детальный анализ функционирования вируса. Кроме того, были обсуждены вопросы, касающиеся уроков инцидента и подготовки к отражению новых атак.

А Моррису так и не повезло - его заставили обеззараживать его-же творение и платить штраф, а так же посадили условно на три года. После этого события была сформирована Команда компьютерной безопасности CERT. В нее, как утверждается на некоторых форумах, понабирали старых алкоголиков, которые утверждали, что интернет предназначен только для специалистов и военных - гражданским в сети делать нечего.

Автор: Deviator [HAZARD]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
После этого события была сформирована Команда компьютерной безопасности CERT. В нее, как утверждается на некоторых форумах, понабирали старых алкоголиков, которые утверждали, что интернет предназначен только для специалистов и военных - гражданским в сети делать нечего.

С них и началась антивирусная индустрия :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×