互联网蠕虫的记忆 – 25年后

今天是臭名昭著的Internet蠕虫的25岁生日。

单从名字,你可以告诉不同的恶意软件的场面早在1988年。

早在那个时代,脑病毒,这是来自巴基斯坦,是不寻常的,有这样一个有益的描述性名称。 (它改变了感染病毒的磁盘卷标(C)脑 。)

病毒往往与技术上无益的名称,如耶路撒冷 ,他们来自何处-有些人甚至称,一个以色列的病毒,因为恶意软件是罕见的,甚至整个国家命名的病毒后不会引起歧义。

等互联网蠕虫- 互联网蠕虫,如果你不介意的话,不只是一种网络蠕虫病毒。

毕竟,有没有一个互联网蠕虫之前,如果曾经有另一个,井,桥叫什么呢可以越过那个时候。

互联网蠕虫也被称为排序,你是不可能看到今天的另一个名字:你会看到它被称为Morris蠕虫病毒后,它的作者,罗伯特·塔潘·莫里斯。

→莫里斯的已故的父亲,因为它发生,也叫罗伯特,为国家安全局工作。这个故事听起来很多怪异的熟悉,甚至25年以后。

恶意软件往往不被命名后,它的作者,这些天,因为很少有人知道他们的身份 – 他们想保持这种方式。

然而,莫里斯,很难否认互联网蠕虫的作者,因为他收到编写并释放一个犯罪的信念 – 他在试用期是三年,做了400个小时的社区服务,并支付刚刚超过10,000美元的罚款。

它是如何传播

该蠕虫雇用众多技术,用于犯罪分子,这一天了它的袖子传播的三种主要招数:

  1. 它试图利用系统服务的fingerd一个堆栈溢出漏洞。
  2. 它试图利用一个调试选项常用,但错误地启用了邮件服务器的sendmail。
  3. 它试图猜测其他用户的密码。

猜测密码开始了与各用户的登录名和真实姓名排列,从而使一个用户名为保罗Ducklin用户名 ,该蠕虫会尝试:

鸭
duckduck
保罗
Ducklin
保罗
ducklin
kcud

如果这些都不奏效,它会用很短的字典,它与它周围进行:

字符* WDS [] = {
  “学术界”,“健美操”,“飞机”,“奥尔巴尼”
  “信天翁”,“伟业”,“亚历克斯”,“亚历山大”
  “代数”,“别名”,“字母”,“非晶”
  。 。 。 。
  “取缔”,“牛津”,“太平洋”,“无痛”,
  “巴基斯坦”,“论文”,“密码”,“帕特里夏”
  “企鹅”,“皮奥里亚”,“渗滤液”,“柿子”,
  。 。 。 。
  “向导”,“袋熊”,“木管乐器”,“艾草”,
  主管Yacov“,”阳“,”黄石“,”优胜美地“,
  “齐默尔曼”
  0
};

我们学到了什么?

能够说密码破解的排序列表显示,2013年将是无用的,这将是很好,但经验表明,很多人还是不小心在1988年。

例如,去年,荷兰工业集团,飞利浦遭受数据库违反时,我们很快就恢复倾销的密码哈希以下选择:

1234
12345
123456
123457  - 不错的尝试,但没有雪茄!
00000000
飞利浦 -  5个出场
的ph1lips  - 不错的尝试,但没有雪茄!
密码 - 没有不完整的列表
QWERTY  - 同上
SEGURO  - 西班牙语为“安全”,它不是

→在一个愉快的历史回环,原隐窝 UNIX程序,介绍了哈希而不是明文密码的存储和验证,作者是罗伯特·莫里斯的父亲,罗伯特·莫里斯。

另一方面,栈溢出,是不太安全的灾难,他们曾经是。

堆栈是用来存储成,期间使用的临时变量的参数传递,并跳转到的地址时,从系统功能返回。

早在1988年,如果你能可靠地溢出堆栈上的那些临时变量之一,改写了返回地址,并添加一些恶意shellcode的,你有一个非常好的机会,RCE,或远程执行代码。

这是因为你可以把你的shellcode在堆栈上,并运行它。

产生临时栈代码和跳跃,偶尔有正当理由,并在1988年,大多数操作系统不允许,如果你以往任何时候都需要这样做。

这些天来,大多数操作系统标志着非可执行堆栈,使其更难运行的shellcode储存在那里,他们也执行各种常规运行时检查,看出来的返回地址堆栈值,如擅自篡改。

它可能会再次发生吗?

收稿智慧表明,互联网蠕虫感染了60,000台计算机连接到互联网,在1988年的10%左右。

那种渗透率可能超过21世纪初的各种网络蠕虫,如红色代码尼姆达地狱 ,然而,在过去的几年中,该复制能力的病毒,只是还没有被看到。

原因之一是互联网本身的成功与无处不在的恶意软件编写者只是不需要利用网络传播病毒自我复制的恶意软件,这些天。

恶意软件,而不是发送到外面的世界找到未受保护的系统,并打破这些天从外面看,网络犯罪分子可以简单地将他们的恶意网站上的内容,并等待世界来给他们。

这就是简单的事,并可以很容易地改变恶意软件往往只要你喜欢 – 你甚至可以为每个访问者建立一个完全不同的样品。

它还绕过很多防火墙,因为他们通常配置为允许从内到网络的连接,即使他们虔诚地从外面阻止所有入站连接。

我们可以学到什么?

三个简单的事情,你应该已经在1988年做的还是非常值得做的今天:

  • 挑像样的密码,使用密码管理器,如果你有麻烦记住它们。
  • 定期打补丁 ,所以已经已知的漏洞根本不是骗子。
  • 检查您的系统配置 ,删除的权限和关闭选项,是不适宜用于生产用途。

要记住的最后一件事。

魔法尘埃UNIX免疫病毒和其他恶意…它永远逃脱于1988年11月2日,。