Шелл-кодыА здесь мы просто отметим, что типичный интернет-червь использует для этого так называемые «шелл-коды» . Это специально подготовленные информационные массивы, которые червь передает серверной задаче. Как правило, шелл-код содержит и фрагменты данных, которые серверная задача не может проинтерпретировать правильно, и куски программного кода, который запускается в результате неверной интерпретации. Шелл-код играет роль «отмычки», которой червь пользуется для проникновения на компьютер. Есть черви, которые содержат внутри себя и пытаются применить множество отмычек: например, опубликованный в журнале «29A» Worm. Linux. Mworm содержал их аж 8 штук. А знаменитому червю Net-Worm. Win32.Lovesan, для того чтобы организовать в 2003 г. беспрецедентную по размерам и длительности эпидемию, хватило всего одного шелл-кода, эксплуатирующего одну-единствен — ную уязвимость. Конечной целью работы шелл-кода является передача управления на содержащийся внутри него фрагмент, состоящий из исполняемых машинных команд. Например, этот фрагмент может найти в памяти «KERNEL32.DLL», определить адреса API-функций, а потом выполнить что-нибудь вроде В результате начнет работу штатный командный интерпретатор CMD. EXE, при помощи которого можно удалять или создавать файлы, запускать программы на атакуемом компьютере и т. п. Фактически это означает, что контроль червя над машиной установлен.

Еще интересные статьи :