14 июля 1998, #33

За последний месяц меня уже пару раз спросили, почему в своих обзорах я ничего не писал про Макинтоши. Честно говоря, раньше этот вопрос для меня просто не стоял, потому как живьем Мак я видел раз десять, а чтобы еще и мышкой пощелкать - пару раз, не больше. Ну а мои сведения об использовании Маков в рамках тематики обзора ограничивались кадрами из веселых фильмов типа "Хакеры" и "Сеть" :)

Простая моя неосведомленность тому виной, или действительно все тихо в яблочном королевстве - я пока не знаю, но тема, видимо, достойна отдельного обзора. Пока же новость, которая льет воду на мельницу второго предположения.

CIAC прислала очередной бюллетень, датированный 6 июля, в котором сообщается об обнаружении 4 мая (редкостная оперативность, прямо скажем) вируса для PowerPC с MacOS. Ну вирус и вирус, мало ли мы их видели. Но совершенно неожиданным для меня стало то, что это по большому счету первый Mac-вирус с апреля 1994. В 1995 появился вирус для HyperCard, а все остальное время омрачалось лишь периодическим появлением макро-вирусов в Microsoft'овских продуктах ( :) ).

Файлов новый экземпляр не заражает, записывает себя в корневой каталог с установленным атрибутом AutoStart, а потом в папку Extensions. Передается через диски с файловой системой HFS или HFS+ (включая дискеты, магнитооптику, WORM и т.д.), распространяется по сети. По этим признакам он относится скорее к категории вирусов-червей. Первоначальное заражение требует включенной опции AutoStart в QuickTime и выше, причем отключаться она начала начиная с версии 2.5.

Кстати о вирусах. ДиалогНаука извещает о начале тестирования "нового, 32-битного поколения программ DrWeb и ADinf для операционных систем Windows 95/98/NT". Пока в глаза бросилась одна ложка дегтя - новый ADinf пока не работает с NTFS-разделами. Поддержка обещана ближе к сентябрю. В остальном - весьма вкусно.

Санкт-Петербургский институт информатики и автоматизации РАН готовит к выпуску сборник статей "Сети и Право", посвященный "проблематике правового регулирования локальных и глобальных информационных сетей" и смежным проблемам. Срок подачи статей - 15 сентября, по всем вопросам обращаться к Виктору Наумову.

Возвращаясь к давешним троянцам (кстати, забавный пример искажения термина - ведь в оригинальной троянской лошадке сидели все-таки греки :) ). Вашему вниманию предлагается лог (самую малость подчищенный) работы этого чуда, любезно предоставленный VadG. Он же уточнил адреса, по которым отсылается улов - udp17ip@iname.com и 1917@iname.com. Адрес отправителя - хакер@chat.ru. В общем, советы не скачивать все подряд с незнакомых сайтов становятся все более актуальными.

Не менее актуальными становятся и рекомендации по возможно более широкому использованию PGP. Тех, кто случайно забрел на эту страницу и каким-то чудом в первый раз слышит эту аббревиатуру, отсылаю к Русскому альбому PGP, подготовленному Максимом Отставновым, и разделу Криптография на сервере Частная жизнь в Интернете. Ну а мой публичный ключ отныне располагается на главной странице сервера.

Ссылка все с того же сайта - всем, кому жалко потратить драгоценное время в поисках прокси. На сайте IRC4ALL. ведется список прокси, пройдясь по которому вполне можно найти подходящий. Вы можете поучаствовать в его пополнении, заполнив форму. Правда далеко не все прокси с этой страницы работают, и многие честно выдают адрес пользователя в HTTP_X_FORWARDED_FOR.

Там же - программка, которая сканирует сеть класса C в поисках серверов, на которых стоит WinGate с общедоступным telnet proxy. Т.е. делать-то она может чуть больше, а по умолчанию пытается соединиться с 23-м портом и в случае получения в ответ строки WinGate> добавляет этот адрес в список. Достучаться до cтраницы автора мне пока не удалось.

Слово fox@eagle.

А теперь несколько слов по поводу StarNet. Это X-сервер, который позволяет использовать Wintel машину как полноценный X терминал Unix'а. Для демо-версии данной программки (StarNet X-Win32) существует две защиты. Первая - это ограничение на время работы. Через два часа она отваливается. А вторая защита заключается в том, что в локальной сети нельзя запустить более одного приложения. Первое ограничение снято уже давольно давно и на многих сайтах в Интернете лежит крак. Но вот ограничение на одиночную копию продолжало оставаться непреодолимым. Пришлось лезть самому. Выяснилось, что при запуске, X-Win32 посылает бродкаст по 177 TCP порту. Если ему никто не ответил, то он запускается и слушает этот же запрос сам. Если теперь кто-нибудь в локальной сети пытается запустить вторую копию, то уже запущенная копия посылает по этому же порту ответ и вторая копия приложения не запускается, говоря, что на xxx.xxx.xxx.xxx. IP адресе одна копия уже запущена. Была написана простейшая программка, которая при запуске открывает 177 TCP порт и ждет у моря погоды. После этого запускается X-Win32. Тут есть маленькая тонкость в различии версий. Если версия X-Win32 3.x то этого вполне достаточно. X-Win32 тыкается в порт, пытается его открыть, получает отказ и благополучно запускается. Задача решена. А вот у версии 4.x существует проблема. Если X-Win32 не может открыть 177 порт, то она в цикле открывает его до тех пор, пока либо не откроет, либо само приложение не будет выгружено. Поэтому при четвертой версии подход немного иной. Запускается програмулька, которая открывает 177 порт, запускается X-Win32, после этого ждем 5 секунд, закрываем программульку и X-Win32 благополучно стартует, так как по-видимому, у X-Win32 истекает время задержки ожидания ответа раньше, чем она открывает порт. Это явный промах со стороны разработчиков. Но сообщать им об этом по-видимому не надо :)). Саму програмулинку я не посылаю, так как она очень убогая и сделана на коленках. Любой может взять пример борланда или microsoft'а и поменять номер порта и вставить таймер с автозакрытием. :))

На этом месте должна была быть информация об ограничении доступа к страницам, но по мере написания мне захотелось вставить туда побольше примеров, в итоге материала накопилось на отдельную статью, которая и появится в ближайшее время в соответствующем разделе.

«		»