30 сентября 01 года


          Очередной червь. Ну, да вы наверняка и так в курсе - всю эту неделю только о нем и можно читать - мол, nimda, ужас, мрак и всё такое.
          Итак, nimda. Admin задом наперед (напишу вирус, назову "акшотрак", пусть мучаются). Основной (кстати, основной ли?) способ распространения взят из недавнего CodeRed (интересно, когда-нибудь эти iis boxes будут наконец пропатчены, или по интернету так и будут месяцами ходить черви?), кроме того пытается использовать "бэкдор", обычно оставляемый codered, кроме того рассылает себя по почте (хе-хе), кроме того пытается заражать соседние компьютеры в локальной сети (через сетевые диски), кроме того пытается влить клиенту файл "readme.exe" при посещении зараженного сайта, кроме того...
          ...причем иногда он выполняется на клиентской машине без вмешательства пользователя. Поскольку вливается к клиенту как "mime type = audio/x-wav", msie считает, что аудио можно бы даже и сразу проиграть - опасности в этом нет, а поскольку имя файла - readme.exe - он сам запускается на выполнение. Тем самым...
          Интересно, блин. Первый на моей памяти "смешанный" червь - как лично ломающий iis, так и распространяющийся при помощи "человеческого фактора" - через аттачи в почте. Правда, в отличие от codered, уже требующий от автора не столько фантазии для изобретения работающего эксплойта, сколько усидчивости для реализации такой кучи готовых и полуготовых рецептов по заражению. Интернет становится всё интереснее и интереснее.
          Приятно удивляет скорость распространения и живучесть. От первого обнаружения червя "in wild" до массовой эпидемии прошли чуть ли не часы. До насыщения - вряд ли больше суток. А гулять теперь будет... посмотрим, сколько.
          Пишут же. Зачем только - непонятно...
          Лирическое отступление. "Музыкой навеяло"(с)анекдот. ...коннективити, блин. Современный человек, а уж тем более компьютерщик, обвешан средствами, обеспечивающими это самое коннективити, с трехкратным запасом. Телефон (домашний и рабочий), сотовый телефон, электрическая почта, глюкала с красивым названием ICQ...
          Поэтому связаться с человеком обычно нет проблем. Кинул мыло, позвонил на мобилу, попросил напомнить рабочий телефон и позвонил с обычного... ага.
          Начало той недели. Хочу выцепить одного своего знакомого (Илья - это про тебя:-). Начинаем с простого - звоним на мобильный. Убеждаемся, что в связи с тем, что "абонент не вовремя оплатил", этот самый абонент "...недоступен". И будет недоступен еще этак с неделю. Хоть обзвонись. Убеждаемся, что рабочий телефон я не помню. Вспоминаем, что на домашнем телефоне у него обрыв на линии, который он никак не соберется найти. ICQ я не пользуюсь по религиозным мотивам, а e-mail... как выясняется, тоже не работает, поскольку подгнивший коавксиал у нас в институте именно в этот день погрызли очередные крысы (или голодные сисадмины).
          Нет, Илью я в тот день всё-таки достал (в обоих смыслах). Но не сразу и не напрямую. После чего проникся этим эргономичным и красивым словом - коннективити. Блин.
          Современные технологии позволяют упешно решать проблемы, которых до их изобретения даже не существовало.
          Поставил себе corel draw 10 rus. Долго сопротивлялся, но corel 7 уже как бы совсем устарел, а corel 10 хвалили те из моих знакомых, кто им пользовался...
          Приятности есть. Стабильней работает с большими файлами. Очень шустро (по сравнению с 7 версией) экспортит в растровый формат. Наконец-то хоть как-то поддерживает полупрозрачность в растровых файлах в пределах самого corel draw.
          "Русефекация" ужасна. Не всегда помогает даже испытанный способ - перевести русефецированное слово обратно на английский, и попытаться понять. "За заполнением" оказалось "behind fill" - заполнение контура за изображением, а не поверх, а "масштаб ручки" - "масштабировать вместе с изображением". Если с behind fill все понятно, то откуда взялся "масштаб ручки" для меня - загадка. Один раз упал. Точнее, страстно зашуршал диском и показал мне "визарда", заявившего, что мой корел ведет себя нестабильно, и его нужно убить максимально гуманным образом. На выбор было предложено несколько методов убийства: от "оставить в живых", через "сохранить файлы и убить" до "убить сразу, чтоб не мучился".
          А на следующей неделе обещаю выложить "болванку" для календарика на 2002 год. Тестирование на людях прошло успешно - после вручения распечатанного в цифровом минилабе календаря размером 25х38см, пациент выжил и сохранил способность выражать восторг. Что радует.
          Спамеры - рулят. Пришел текстик на тему "страшный и опасный вирус". Типа, если "пуск-поиск-файлы и папки" найдет у вас файл SULFNBK.EXE - это страшный вирус неизвестной природы, и его нужно срочно того. Я сделал поиск. Файл нашел - в тушке win98, которая иногда загружается "для досу". Иконка файла оказалась совершенно вирусного вида (явно рисованная мышью в паинтбраше черным по белому), но название показалось подозрительно знакомым.
          Такой же файл обнаружился внутри дистрибутива win98, и я успокоился. Но иконка... да, среднестатистический пользователь вряд ли поверит, что нормальная программа может иметь такую иконку :-)



Оригинал страницы находится на http://dibr.nnov.ru/issue300901.html.(с) DiBR
При перепечатке ссылка обязательна. <<  *  >>