RIP #06
10 января 1998

Вирус Морриса - О Вирусе Морриса.

<b>Вирус Морриса</b> - О Вирусе Морриса.
(c) И.Э.Моисеенков                          Skiped by Werewolves

 Абсолютно  точную  последовательность событий в настоящее время
восстановить  практически  невозможно,  поскольку, во-первых, во
время самой атаки все были заинтересованы прежде всего в быстрой
локализации  и удалении вируса, а никак не в подробной регистра-
ции фактов [B1]; и, во-вторых, потому, что вирус быстро   забло-
кировал  атакуемые вычислительные сети, в результате чего  прер-
валась связь между пользователями.
 Специалисты старшего поколения утверждают, что сообщения,  про-
ходившие  в  сетях  во  время  вирусной  атаки, очень напоминают
сообщения  о вражеских боевых действиях, поступавших по связи во
время Второй мировой войны. Во всяком случае, эти сообщения поз-
воляют  ощутить полную беспомощность, царившую во время вирусной
атаки  в  различных  узлах  сети,  примерно  оценить возможность
пользователей понять, что же происходит и сделать выводы относи-
тельно  требований  к  системе оказания помощи в подобных ситуа-
циях.
 Итак,2 ноября 1988 года, среда. 17:00 Вирус обнаружен в Корнел-
лском университете (Нью-Йорк). 21:00 Вирус  обнаружен в системах
Стэнфордского университета и фирмы Rand Corporation (Калифорния)
22:00 Вирусом поражена  система университета в Беркли. 23:00 Ви-
рус обнаружен специалистами  отделения  математики Принстонского
университета (Нью-Джерси).
 Сначала все обнаружившие вирус подумали, что это очередной  ин-
цидент, касающийся только их системы. Никто естественно предста-
вить себе не мог, какие масштабы примет эпидемия через несколько
часов.  Тем  не  менее администраторы атакованных систем послали
сообщения о происшедшем.
 23:28 В электронной почте VIRUS_L прошло первое сообщение о ви-
русе. Сообщается, что атакованы университеты в Дэвис и Сан-Диего
Ливерморская лаборатория имени Лоуренса и исследовательский цен-
тр НАСА (все в Калифорнии) Вход вируса идентифицируется как SMTP
Атакуются  все системы 4.3 BSD и Sun 3.X. Отмечается, что  вирус
распространяется по каналам TELNETD, FTPD, FINGER, RSHD и SMTP.
 23:45 Вирус обнаружен в исследовательской лаборатории баллисти-
ки.
 Постепенно стало проясняться, что одни и те же признаки пораже-
ния  вирусом наблюдают пользователи, находящиеся в разных концах
страны.  Учитывая совпадение событий по времени, был сделан  вы-
вод, что национальные компьютерные системы атакованы одним и тем
же вирусом, распространяющимся через сети, поскольку иным спосо-
бом  распространения  нельзя  было объяснить скорость, с которой
вирус  появлялся в различных концах США, если, конечно, не пред-
положить,  что все происходящее результат заранее спланированной
и  хорошо  подготовленной акции некой преступной группы, имеющей
доступ  ко  всем  национальным  системам.  Жизнь администраторов
американских систем после установления этого факта, как говорит-
ся, переставала быть безинтересной!
 Для пользователей и системных администраторов атакованных узлов
сетей поведение вируса было непостижимым. В некоторых системах в
директории  /usr/tmp  появлялись  необычные  файлы; в журнальных
файлах  ряда утилит появлялись странные сообщения. Наиболее при-
мечательным,  однако,  было то, что все более и более повышалась
загрузка  систем,  приводившая  в конце концов либо к исчерпанию
свободного  места,  выделенного под свопинг, либо к переполнению
системной таблицы процессов - в любом случае это означало блоки-
ровку системы.
 Исходя  из  названия  сетей, в которых вирус был обнаружен, его
тут же окрестили вирусом Milnet/Arpanet. Вскоре, однако, выясни-
лось,  что  вирус  из  Arpanet  благополучно  перекочевал в сеть
Science  Internet  -  и  он  тут  же  получает  название  "вирус
Internet".  Но  после того, как Корнеллский университет высказал
косвенно доказанное предположение, что вирус, вероятно, разрабо-
тан  в его стенах, вирус получает наконец одно из наиболее расп-
ространившихся,  благодаря  стараниям  прессы,  название - вирус
Cornell/Arpanet.
 Наступило 3 ноября, четверг...
01:00 Сообщения о заражении 15-ти узлов сети  Arpanet. 02:00 По-
ражена вирусом система Гарвардского университета (Массачусетс).
03:30 Вирус обнаружен в Центре  Массачусетского технологического
института. 03:46 В сообщении,прошедшем в электронной почте RISKS
уточняется, что атакуются системы UNIX - 4.3 BSD - и аналогичные
ей Sun, работающие  на компьютерах  VAX фирмы DEC  и компьютерах
Sun. Сообщается также, что вирус  распространяется через  дыры в
системе безопасности утилиты электронной почты Sendmail имеющей-
ся в составе указанных систем.
 04: 00 Поскольку сеть перегружена, распространение вируса заме-
дляется; к этому моменту заражены уже более 1000 узлов сети.
 05: 15 В университете Карнеги-Меллона  в Питтсбурге (Пенсильва-
ния) из 100 компьютеров, подключенных к Arpanet, вышло  из строя
80. 08:00 Сообщение о вирусе из  астрофизического центра Smitho-
nian.
 Впоследствии  возникло  несколько версий относительно того, как
именно и кем был обнаружен  вирус. Согласно  первой,  вирус  был
обнаружен в ночь со 2 на 3 ноября 1988 года одним из научных со-
трудников  Ливерморской  лаборатории  Им. Лоуренса. Обращаясь со
своего домашнего терминала к вычислительной системе лаборатории,
он заметил необычное повышение интенсивности  ее загрузки. Запо-
дозрив неладное, сотрудник сообщил об этом дежурному оператору и
тот (очевидно руководствуясь инструкцией) сразу же отключил сис-
тему от сети Science Internet, по которой распространялся вирус.
 Специалисты Ливерморской лаборатории действительно могли одними
из  первых  обнаружить  вирус.  Дело в том, что эта лаборатория,
проводившая  исследования  по  программе  СОИ и разработку новых
видов  ядерного оружия, в мае 1988 года уже сталкивалась с виру-
сом,  после чего, по всей видимости, были приняты дополнительные
меры предосторожности и повышена бдительность.
 Немедленно  об  инциденте было сообщено Управлению связи МО США
(Defence Communication Agency; DCA), в ведении которого находит-
ся  сеть  Arpanet. В три часа ночи о вирусной атаке узнало руко-
водство  DoD. Однако, несмотря на оперативность извещения, лока-
лизовать вирус в сети было уже невозможно.
 По  второй  версии извещение о появлении вируса было отправлено
неизвестным  лицом  по компьютерной сети вместе с инструкцией по
его  уничтожению. Но сеть была перегружена и очень многие вычис-
лительные  центры не сразу приняли сигнал. Когда же, наконец, на
сообщение обратили внимание, было уже поздно.

					Продолжение следует...



Другие статьи номера:

7 Origins - Семерка лучших origin'ов-мудрых и не очень выражений.

Game - Описание игры "Towdie".

Post... - Письма читателей по поводу желания попить пивка...

Warez TOP 10 - Лучшая десятка игровых программ и тройка журналов.

ZX-news - Spectrum Expert #1 от X-Trade. Фирма "Инфорком" прекратила свое существование. О хронологии версий игры "Черный ворон". Звездное наследие часть 1 - статус Freeware. Свободно распростран. продукты братьев Медноноговых.

Вирус Морриса - О Вирусе Морриса.

Вступление - RIP#6 решил появится...

Эпилог

Ликвидация ООО Срочно Гарантии - ликвидация предприятия. Все Вопросы Бизнеса и Финансов.

Темы: Игры, Программное обеспечение, Пресса, Аппаратное обеспечение, Сеть, Демосцена, Люди, Программирование

Похожие статьи:
Таланты - Стих "Модем".
CODING - Уроки кодера: Генерилка шариков.
Реклама - авторы журнала.
От авторов - Вступительное слово.
Реклама - Электронной газете "AMIGOZ" требуются редакторы, музыканты и корреспонденты .

В этот день...   21 ноября