Неделя была напряженной. На следующий день прибыл второй червяк. Этот червяк, аналогичный первому, попытался получить контроль над ПК, чтобы помочь кому-то выиграть соревнование distributed.net. Однако в случае с этим червяком все файлы были скомбинированы в один запускающийся файл wininit.exe. В установленных по умолчанию системах Windows 98 уже есть бинарный файл c:\windows\wininit.exe. Этот червяк называет себя тем же именем, чтобы скрыть свое присутствие, но устанавливается в другой каталог: c:\windows\system\wininit.exe. Автор надеется, что все, кто наткнется на этот файл, будут считать его частью операционной системы, а не червяком - очень распространенная тактика среди взломщиков. После запуска червяк действует точно так же, как и предыдущий. Приведенный ниже код показывает заражение нашей honeypot вторым червяком, wininit.exe. Название NetBIOS удаленной системы WINDOW, учетная запись WINDOW, домен LVCW.
После того как червяк сам себя проинсталлирует, удаленная система изменит файл win.ini, чтобы гарантировать, что червяк будет запускаться при перезагрузке. Обратите внимание на то, как этот файл добавляется в уже измененный файл c:\windows\win. ini, в котором есть запись предыдущего червяка.
11/02-21:41:48.538643 216.234.204.69:2021 -> 172.16.1.105:139
TCP TTL:113 TOS:0xO ID:21212 IpLen:20 DgmLen:1500 OF
******A* Seq: 0x22021C9 Ack: 0xCE68EC7 Win: 0x1FA3 TcpLen: 20
00 00 0B 68 FF 53 4D 42 1D 00 00 00 00 00 01 00 ...h.SMB
00 00 00 00 00 00 00 00 00 00 00 00 00 DO 4F 1F 0.
00 00 84 F4 0C OF 00 7F 19 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 2C 0B 3C 00 2D 0B 00 <.-..
5B 77 69 6E 64 6F 77 73 5D 0D 0A 6C 6F 61 64 3D [windows] .. load= 63 ЗА 5C 77 69 6E 64 6F 77 73 5C 73 79 73 74 65 c:\windows\syste 6D 5C 77 69 6E 69 6E 69 74 2E 65 78 65 20 63 ЗА m\wininit.exe с: 5C 77 69 6E 64 6P 77 73 5C 73 79 73 74 65 6D 5C \windows\system\ 6D 73 69 32 31 36 2E 65 78 65 0D 0A 72 75 6E 3D msi216. exe. . run= 0D 0A 4E 75 6C 6C 50 6F 72'74 3D 4E 6F 6E 65 0D .. NullPort=None. 0A 0D 0A 5B 44 65 73 6B 74 6F 70 5D 0D 0A 57 61 ... [Desktop]. .Wa
При перезагрузке этот червяк, как и предыдущий, запустится и начнутся те же самые процессы. Необходимо иметь в виду, что напавшие на нас удаленные системы, скорее всего, не злоумышленники, решившие завоевать мир, а всего лишь невинные взломанные системы. Их владельцы не имеют ни малейшего представления о том, что в их системе действует червяк или что их компьютеры используются для сканирования и взлома других уязвимых систем в Internet. Однако у их систем есть выделенный канал для соединения с Internet, вот почему они становятся основной мишенью. Даже те системы, которые подключаются к Internet через набор номера, попадают в группу риска. «Война» продолжается по мере того, как автоматический червяк ищет и взламывает другие системы.
Затем червяки используют их как отправные точки для получения контроля над другими системами, такими как honeypot.
