Неудачу, то вызывается hi, которая похожа на ha, но подбирает адрес с помощью сетевого адреса текущей

Машины. Анализ кода этих процедур также свидетельствует о наличии ошибок.

Процедура 11.с - <абордажный крюк>

Все процедуры атаки использовали эту короткую процедуру для пересылки основной части вируса.

Первое, что она делает, - удаляет свой образ на диске. Затем она проверяет наличие трех аргументов (если

Их нет, то завершается), после чего закрывает все файловые дескрипторы и разветвляется на два процесса

(если это не удается, она также завершается). Процесс-родитель завершается, не оставляя никаких связей с

Порожденным процессом.

Далее процедура (процесс-потомок) создает TCP-соединение с заражаемой машиной по адресу, заданному в

Качестве первого аргумента, через

порт, заданный вторым аргументом. Затем она пересылает на зараженную машину <магическое число>,

Заданное третьим аргументом. Каждый аргумент стирается сразу после его использования. Далее

Стандартный ввод-вывод переназначается на канал связи с зараженной машиной.

Следующий этап - считывается длина и имя каждого файла, составляющего вирус. Каждый файл

Пересылается с зараженной машины на текущую. При возникновении сбоев все файлы удаляются.

По окончании цикла пересылки файлов запускается Bourne Shell (sh), замещающий программу II и