Klaus-Peter Kossakowski: Computer-Würmer
|
||
Zur Person
|
2.2.4 Die WANK-Würmer
Ungefähr ein Jahr nach dem Auftreten des Internet-Wurms wurde
am 16. Oktober 1989 der Wank-Wurm im SPAN/HEPNet gestartet. Der
Name wurde aus dem Banner übernommen, das im Rahmen seiner
Schadensfunktion das System-Announcement-Banner ersetzte.
Für seine Ausbreitung auf die DEC-Rechner des Netzwerks,
die sehr langsam erfolgte, nutzte er die gleichen Verfahren wie
bereits sein Vorgänger. [Fußnote 1] Innerhalb der
ersten zwölf Stunden wurde er nur auf sechs Rechnern aktiv.
Bis zum 20. Oktober soll der Wurm auf 60 bis 70 Rechnern aktiv
gewesen sein. Dies ist aufgrund von über Electronic Mail an
den SPAN-Knoten 6.59, Account GEMPAK, übermittelten
Nachrichten (die auch die jeweils für den Zugang
verwendeten Paßwörter festhielten)
verläßlich belegt. Dieser Knoten gehört zur
NASA, über deren interne Ermittlungen, an denen auch das
FBI beteiligt war, ist bisher nichts öffentlich bekannt
geworden. [Fußnote 2]
In seinem Verhalten wich er erheblich von seinem Vorgänger
ab. Einmal in ein System eingedrungen, setzte er das Passwort
für den Default-DECNET-Account auf einen zufälligen
Wert. Wurde das Wurm-Programm mit SYSPRV -Privilegien
ausgeführt, veränderte es das Systembanner (siehe
Abbildung 3 [Fußnote 3]) und verhinderte die
Übermittlung von Electronic Mail an den SYSTEM-Account. Die
Standard-Login-Prozedur wurde so verändert, daß die
Benutzer den Eindruck hatten, alle ihre Dateien seien
gelöscht worden, was jedoch nicht der Fall war.
W O R M S A G A I N S T N U C L E A R K I L L E R S _______________________________________________________________ \__ ____________ _____ ________ ___ ____ __ _____/ \ \ \ /\ / / / /\ \ | \ \ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \ \| | | |\ \ / \_\ /__\ /____/ /______\ \____| |__\ | |____| |_\ \_/ \___________________________________________________/ \ / \ Your System Has Been Officically WANKed / \_____________________________________________/ You talk of times of peace for all, and then prepare for war. Nach den verfügbaren Informationen war dies der erste Wurm, der Computer-Viren einpflanzte, die jedoch sehr primitiv waren. Infiziert wurden Kommando-Prozeduren. Die angefügten, zur weiteren lokalen Ausbreitung fähigen Anweisungen veränderten sowohl das Paßwort des FIELD-Accounts (der für die Fernwartung genutzt wird) als auch die Privilegien dieses Accounts. Damit wurde eine Falltür in das System eingebaut. Der aktive Wurm-Prozeß bestimmte mit Hilfe einer Zufallsfunktion einen Rechner des Netzwerks und versandte an die auf diesem Rechner aktiven Benutzer einen 'Glückskuchen'. Für die weitere Ausbreitung wurde aus der Datei RIGHTSLIST eine Account-ID ausgewählt, und ein Zugriff auf ein Remote-System versucht. Als Paßwort wurde zunächst die gleiche Zeichenkette verwendet. Jeder erfolgreiche Versuch wurde aufgezeichnet. Konnte bei einem erfolgreichen Versuch auf die Datei SYSUAF.DAT zugegriffen werden, handelte es sich um einen privilegierten Account, der sofort für die Ausbreitung genutzt wurde, anderenfalls wurde einer der anderen gefundenen Accounts benutzt. Vor der Übertragung und Aktivierung eines Wurm-Prozesses auf einen Rechner konnte ein bereits aktiver Wurm nicht erkannt werden. Aus diesem Grunde überprüfte ein neu gestarteter Wurm-Prozeß zunächst, ob der Name eines aktiven Prozesses mit NETW_ (gefolgt von einer zufälligen Zahlenfolge) begann. War dies der Fall, beendete der neue Wurm-Prozeß seine Ausführung ohne weitere Auswirkungen. Ungeachtet aller Warnungen und Hinweise darauf, wie einfach durch administrative Maßnahmen [Fußnote 4] diese Art von Würmern zu vermeiden sei, kam es nur zwei Wochen später am 30. Oktober 1989 zu einem erneuten Wurm-Angriff. Dabei wurde der Code des Wank-Wurms nur geringfügig verändert, um die veröffentlichten Abwehrmaßnahmen zu unterlaufen. Der Name des aktiven Wurm-Prozesses wurde in OILZ_ [CIAC A-4 1989] (gefolgt von einer zufälligen Zahlenfolge) verändert; darum wird dieser Wurm auch als Oilz-Wurm oder Oilz- Variante bezeichnet. Die Schadensfunktion wurde, indem die Paßwörter auf einen willkürlich gewählten Wert gesetzt wurden, dahingehend verändert, daß kein Zugang zu den betroffenen Accounts mehr möglich war.
|
|
|
||
|
© 1998-2001 by Klaus-Peter Kossakowski, Germany.