next up previous contents index
Next: Az ADMw0rm Up: Férgek Previous: Férgek

  
Az RTM_Worm

A ``Nagy Internet Férget''[17] egy bizonyos Robert T. Morris írta, és állítólag csak véletlenül, egy programhiba következtében szabadult ki a kezei közül. A lényeg az, hogy a féreg 1988. november 2-án elindult hódító útjára, és többezer gépet megfertőzve egész számítógép-rendszereket bénított meg.

Működéséhez BSD 4.2 vagy 4.3 operációs rendszer szükséges. Terjedését háromféle módon biztosítja. Először is jelszavakat  próbál feltörni. Saját crypt()  rutinjával lekódolja a felhasználó nevéből, vagy a magával hozott szótár szavaiból különféleképpen készített jelszavakat, és összehasonlítja ezeket a jelszófájlban található kódolt jelszavakkal. A megtalált jelszavakat arra használja, hogy bejusson velük a szomszédos gépekbe, ahol az adott felhasználóknak accountjuk van. A címeket több helyről, köztük a .forward és a .rhost fájlokból szedi. A második módszer a finger  démon hibáját használja ki. A finger démon a létező legveszélyesebb függvényt, a gets()  függvényt használta adatbeolvasásra. A féreg ezt egy buffer overflow  akcióval köszönte meg. A küldött hosszú üzenet felülírta a vermet, és a szubrutin visszatérésekor a féreg induló kódja hajtódott végre, mely ``áthúzta'' a maradék részt az eredeti gépről. A harmadik terjedési módszer a Sendmail  levelezési programot használta. A debug parancs lehetővé teszi, hogy programot futtassunk a levelezőszervert használó gépen. Az Internet Worm természetesen saját kódját fordíttatta le, és hajtatta végre a Sendmail-lel.


next up previous contents index
Next: Az ADMw0rm Up: Férgek Previous: Férgek
Nagy Ferenc Laszlo
1999-05-21