WANK Worm ( W.COM ) är en mask som attackerade NASA SPAN -nätverket den 16 oktober 1989 genom VAX / VMS- system med DECnet [1] . Masken använder två funktioner i DECnet/VMS för att spridas. Det första är DECnet- kontot , skapat som standard, som är avsett för användare som inte har sin egen inloggning .i systemet, och som gör det möjligt att använda systemet mer eller mindre anonymt. Masken använde detta konto för att kopiera sig själv till systemet och använde sedan "TASK 0"-tricket för att köra kopian på fjärrsystemet.
1. Programmet kontrollerar om användaren har full åtkomst till den aktuella katalogen (läs, skriv, kör och radera).
2. Programmet kontrollerar om en annan kopia av sig själv körs. Den letar efter en process vars första fem bokstäver är "NETW_". Om en sådan process hittas tar programmet bort sig själv ( filen ) och avslutar sin process.
3. Programmet ändrar lösenordet för standard DECNET-kontot till en slumpmässig sträng på minst 12 tecken.
4. Information om lösenordet som används för att komma åt systemet skickas till GEMPAK-användaren på SPAN-noden 6.59. Vissa versioner kan använda en annan adress.
5. Processen byter namn till "NETW_" följt av ett slumptal.
6. Hon kontrollerar sedan om hon har rättigheter till SYSNAM. Om ja, ändras systemets promptmeddelande till:
WORMSMOT NUCLEARKI LLERS ________________________________________________________________ \__ ____________ _____ ________ ____ ____ __ _____/ \ \ \ /\ / / / /\ \ | \\ | | | | / / / \ \ \ / \ / / / /__\ \ | |\ \ | | | |/ / / \ \ \/ /\ \/ / / ______ \ | | \\| | | |\ \ / \_\ /__\ /____/ /_______\ \____| |__\ | |____| |_\ \_/ \_________________________________________________/ \ / \Ditt system har blivit officiellt WANKAT/ \____________________________________________/ Du talar om tider av fred för alla och förbereder dig sedan för krig.7. Om hon har SYSPRV, inaktiverar hon e-post för SYSTEM-kontot.
8. Om hon har SYSPRV, ändrar hon inloggningsproceduren så att den visas för att radera alla användarfiler. (Detta händer faktiskt inte).
9. Programmet skannar kontots logiska namntabell och försöker ändra fältet FÄLT till ett känt lösenord med åtkomst var som helst och fullständiga rättigheter.
10. Hon fortsätter att försöka komma åt andra system genom att välja nodnummer slumpmässigt. Den använder PHONE för att få en lista över aktiva användare på fjärrsystemet.
11. Programmet försöker komma åt RIGHTLIST-filen och komma åt fjärrsystem med de hittade användarnamnen, såväl som med "standard"-namnen som ingår i maskens kropp. Programmet använder samma lösenord som användaren använder på det lokala systemet, eller tomma lösenord. Programmet sparar alla konton som hittas på detta sätt.
12. Programmet letar efter ett konto som tillåter åtkomst till SYSUAF.DAT.
13. Om ett privilegierat konto hittas, kopieras programmet till detta konto och startas. Om inget sådant konto hittas, kopieras programmet till ett av de hittade kontona på ett slumpmässigt valt system.
14. Så snart arbetet med systemet har avslutats, väljer programmet slumpmässigt ett annat system och fortsätter att fungera.
15. Varje efterföljande WANK-barn får från föräldraprogrammet all ackumulerad information om konton och lösenord från redan hackade maskiner.
| 1980-talets hackattacker | |
|---|---|
| Datavirus | |
| 1980 -tal • 1990 -tal | |