Читаем Компьютерные террористы полностью

«Червь поразил систему университета во вторник утром, почти сразу же после того, как пришел на работу административный и технический персонал. Первым делом, каким занялось большинство администраторов, было ежедневное ознакомление с поступившими сообщениями электронной почты. Администраторы обнаружили предупреждения о вирусе, информацию о странных файлах, обнаружение которых свидетельствует о наличии одного или нескольких червей, и идеи относительно обнаружения и уничтожения программы-червя. Администраторы быстро обнаружили работающую оболочку UNIX, не связанную с каким-либо терминалом, и, используя команду KILL, уничтожили первый червь в Дэви.

Спустя несколько часов на терминалы администраторов стали поступать новые сообщения и предупреждения о втором черве. В это время Arpanel была в панике, и системные администраторы советовали остановить работу утилиты Sendmail и/или отсоединиться от сети. К счастью, администраторы продолжали контролировать свои системы и не отсоединялись. Через некоторое время они получили программу блокировки червя, написанную системным программистом из университета в Пурду (Purdue). Эта программа инициировала вызов червя и запись всех сегментов в пустой файл, что позволило обнаружить червя и прекратить его распространение по системам.

По счастливому случаю, оба червя UNIX были обнаружены, по всей видимости, спустя всего лишь несколько минут после их поступления в систему из Arpanel. Благодаря утренним сообщениям электронной почты администраторы были в курсе событий, в результате чего черви были зафиксированы до того, как события приобрели драматический характер. Ущерб состоял в потере времени системными администраторами на обнаружение червей, их уничтожение и чистку системы от сопутствующих червям файлов (около одного дня работы системных администраторов, что оценивается в сумму свыше 120 долларов)».

Думаю, всем понятно, что под именем червя UNIX здесь скрывается описываемый вирус.

Вопрос вызовет, пожалуй, упоминание о двух червях, ведь мы-то все время говорим об одном. На это есть две причины.

Первая — это то, что на компьютер было совершено два «нападения», не совпадавших по времени.

Вторая — то, что, как впоследствии выяснилось, вирус использовал для распространения два различных механизма, отчего казалось, что работают два — правда, очень похожих — червя. Но об этом несколько ниже.

Тем временем ФБР упорно делало свое дело. Ход расследования держался в тайне, однако известно, что уже 4 ноября ФБР обратилось к Корнеллскому университету с просьбой разрешить сотрудникам Бюро тщательно проверить рабочие файлы всех научных работников. Все магнитные носители в университете были арестованы, после чего сотрудниками ФБР были тщательно просмотрены файлы подозреваемых лиц, в результате чего был обнаружен файл, содержавший набор слов, опробованных вирусом в качестве паролей. То, что именно эти слова были опробованы вирусом, было установлено в результате дезассемблирования вируса.

Владельцем этого файла был 23-летний студент выпускного курса Корнеллского университета Роберт Таппан Моррис.

Впрочем, в тот же день «виновник торжества» — исчезнувший ранее из родного университета — явился с повинной в штаб-квартиру ФБР в Вашингтоне.

Вот когда в ФБР и Пентагоне вздохнули с облегчением! Еще бы: вирус оказался не творением рук неизвестных злоумышленников или — свят-свят! — спецслужб, а всего лишь «невинной проделкой доморощенного гения», как выразился адвокат, благоразумно приглашенный «экспериментатором».

Естественно, Морриса тут же привлекли к работам по ликвидации его милой проделки — кто же лучше автора знает, как остановить вирус. Хотя, именно к этому моменту в результате дезассемблирования выловленного в сети тела вируса многие специалисты из крупных научных и инженерных центров страны могли рассказать о вирусе очень многое, если не все.

Кажется более правильным называть этот вирус по имени его автора, хотя, вирус имеет массу других названий. Однако в нашей стране, имеющей весьма отдаленное представление об Arpanet, Milnet, Internet, Корнеллском университете и тому подобных вещах, прижилось и получило определенное распространение именно это название — «вирус Морриса». В дальнейшем будем так называть его и мы.

Вирус Морриса — высокосложная 60 000-байтная программа, разработанная с расчетом на поражение операционных систем UNIX Berkeley 4.3 (или 4.3 BSD) и аналогичных ей Sun, работающих на компьютерах фирм Sun Microsystems inc. (Sun) и Digital Equipment Corp. (DEC). Такая избирательность вируса навела, ряд экспертов на мысль, что инцидент, связанный с вирусом Морриса, вполне мог быть тщательно подготовленной акцией корпорации IBM по подрыву позиций своих конкурентов.