Unix/SadMind: ненавидит правительство США, Solaris и Microsoft

Unix/SadMind — этот интернет-червь проникает на системы Solaris (версии 7 или ниже) через сисадминскую программу, являющуюся частью пакета Solstice AdminSuite, используя при этом переполнение буфера.

Червь копирует себя на машину, создает директорию /dev/cuc и распаковывает в нее свою копию. Затем вносит изменения в /etc/rc.d/S71rpc таким образом, чтобы стартовать в момент старта системы.

Затем червь открывает на зараженном компьютере 600-й порт и сканирует IP-адреса, выбранные случайным образом из блока класса «B», в поисках других систем для нападения. Параллельно при этом червь сканирует Microsoft IIS web-сервера и, используя дыру в безопасности под названием «Web Server Folder Traversal Vulnerability», предпринимает попытку изменить содержимое стартовой страницы сайта на непристойный текст (см. ниже).

Когда червь инфицирует 2000 серверов под управлением Solaris, он предпринимает попытки заменить все стартовые страницы web-серверов (INDEX.HTML) на страницу следующего содержания:

«Заплатки» от Microsoft и Sun Microsystems, исправляющие ошибки в безопасности, доступны по адресам: