Атака через Internet

       

Обработка аргументов командной строки


Вирус мог запускаться с аргументом "-p NNN" , где NNN - десятичное число, которое является идентификатором породившего процесса. Впоследствии вирус использовал это число для удаления данного процесса с целью "заметания следов" .

Остальные аргументы командной строки являлись именами файлов, которые он пытался загрузить. Если не удавалось загрузить хотя бы один из них, вирус заканчивал работу. Если был задан аргумент "-p NNN" , то он так же стирал файлы и потом пытался уничтожить свой образ на диске.

Затем вирус предпринимал следующие действия (причем, если какие-то из них терпели неудачу, он завершался):

  • проверял, что был задан хотя бы один файл в командной строке;
  • проверял, был ли успешно загружен файл ll.c.
  • Если была задана опция "-p" , программа закрывала все файлы, открытые породившим процессом.

    Затем стирался массив аргументов для маскировки способа запуска вируса.

    Вирус сканировал все сетевые интерфейсы, получал статус и адреса каждого интерфейса.

    Вирус уничтожал процесс, заданный опцией "-p NNN" и перед этим менял группу (GID) текущего процесса, чтобы не погибнуть вместе с ним.

    Если все эти действия заканчивались удачно, далее он выполнял процедуру doit, которая совершала остальную работу.



    Содержание раздела