Полученным именем и паролем текущего пользователя либо вообще без аутентификации, если атакуемая

машина <доверяла> данной. (Файлы /etc/hosts.equiv и.rhosts содержат список машин, <доверяющих> данной,

то есть доступных для запуска rsh с этой машины.) Он пробовал три различных имени для rsh:

_ /usr/ucb/rsh; ' /usr/bm/rsh;

_ /bin/rsh.

Удаленный интерпретатор по своей функции напоминает программу удаленного исполнения, но обладает

Более дружественным интерфейсом, так как дистанционно запускается командный интерпретатор, а не функ-

Ция ехес.

Маскировка действий вируса Для сокрытия своих действий вирус осуществлял ряд мер:

Стирался список аргументов по окончании их обработки, поэтому команда ps не могла показать, каким

Образом были вызваны вирусные программы.

Исполняемые файлы вируса после своего запуска немедленно уничтожались, и нельзя было понять,

Откуда появился процесс. Если зараженная машина перезагружалась во время исполнения вируса, то

Специальная программа автоматически восстанавливала файл после перезагрузки.

Размер аварийного дампа устанавливался равным нулю. Если программа аварийно завершалась, то она

Не оставляла после себя никаких следов. Также отключались сообщения об ошибках.

Вирус был скомпилирован под именем sh, такое же имя использовалось командным интерпретатором