home *** CD-ROM | disk | FTP | other *** search
/ Libris Britannia 4 / science library(b).zip / science library(b) / PROGRAMM / DB_CLIPP / 0411.ZIP / NOTROJ.TXT < prev    next >
Text File  |  1986-10-27  |  8KB  |  157 lines
  1. EXTRACT FROM:
  2.  
  3. Info-IBMPC Digest      Sunday, September 21, 1986      Volume 5 : Issue 86
  4.  
  5. ------------------------------
  6.  
  7. Date:         Sat, 20 Sep 86 04:17:50 EDT
  8. >From:           "James H. Coombs"  <JAZBO%BROWNVM.BITNET@WISCVM.WISC.EDU>
  9. Subject:      NOTROJ--it IS a trojan
  10.  
  11.  
  12. Distribute far and wide!
  13. (C)Nobodaddy, 1986
  14.  
  15.  
  16.                        A Story of a Trojan Horse
  17.             With Some Suggestions for Dismounting Gracefully
  18.  
  19.                                    by
  20.                             James H. Coombs
  21.  
  22.  
  23. NOTROJ.COM is a TROJAN HORSE (comes in NOTROJ.ARC--for now).
  24.  
  25. I first became aware of NOTROJ when a member of The BOSS BBS community
  26. reported his belief that the program destroyed the directory of his hard
  27. disk.  After two days of restoring his files, he concluded:
  28.  
  29.          This Trojan was written by a real Pro---he knows his ASM and
  30.          uses it as a weapon---not a tool.  From lokkin' at the job he
  31.          did on me, I tendto doubt that I would have found the bomb has I
  32.          been smart enough to look. ---PLEASE!!!!!  Spread the word 'bout
  33.          this one.  It's a Killer!
  34.  
  35. In the next couple of days, I saw a similar note on the Boston Computer
  36. Society bulletin board.  This victim rather pathetically credits NOTROJ
  37. with a "valiant" attempt at saving his data.
  38.  
  39.          The program in question is a time-bomb (about 10 minutes) and
  40.          works by the "SOFTGUARD UNFORMAT" method of attack.  I'm not
  41.          sure what it did, or how it did it, or even how I could have
  42.          recovered the disk but the NOTROJ program I had in the
  43.          background alerted me to the fact, and tried a valiant attempt
  44.          to shut down the hard disk.  To no avail, though.
  45.  
  46. Since my hard disk was becoming fragmented anyway, I decided to test
  47. NOTROJ.  Everything looked pretty reasonable from the start; in fact, the
  48. program looks like a very useful tool (although I'm not in love with the
  49. interface).  One loads NOTROJ resident and then accesses the options menu
  50. through Alt-N.  The menu contains about fifteen items, some of them
  51. annotated "DANGER", e.g., "Format track (DANGER!)".  For each parameter,
  52. the user can select one of four responses: Proceed, Timeout, Reboot, or
  53. Bad Command.  The menu also provides a fifth option--"Pause&Display"--
  54. which provides the user with full information on the activity that the
  55. currently active program is trying to perform and prompts for one of the
  56. four primary actions, e.g, Proceed.
  57.  
  58. I selected "Pause&Display" for all of the DANGERous parameters.
  59. Everything worked fine, although I found that iteratively selecting
  60. "Timeout" in response to the "Write sectors" interrupt hung up the
  61. machine.  I fooled around with a number of commands and finally
  62. reproduced the disk crash.  At the time, I was running the DOS ERASE
  63. command (I had been suspicious of that one for quite some time anyway).
  64. I don't have the full message that the program displayed, but I did write
  65. down this much "Softguard-style low-level disk format."  (Keep those
  66. words in mind.)
  67.  
  68. In spite of the fact that I had prepared for a disk crash, it took me at
  69. least an hour to get running again.  When I booted the machine, I was
  70. thrown into BASIC and could not get back to the system.  I put a DOS
  71. diskette in, and got an invalid drive error message when I tried to
  72. access the hard disk.  Here is the recovery procedure for this and most
  73. disk crashes:
  74.  
  75. 1) Insert DOS system disk in drive A.
  76. 2) Reboot the machine.
  77. 3) Run FDISK and install a DOS partition on the hard disk.
  78. 4) Format the hard disk with the '/S' option.
  79. 5) Restore files from the most recent full-disk Bernoulli or tape
  80.    backup.
  81. 6) Restore files modified since the most recent full-disk Bernoulli
  82.    or tape backup.
  83.  
  84. Once I got a minimal system running, I decided to reproduce the crash to
  85. ensure that this was not some quirk of bad programming.  What, ho!  I got
  86. bored playing around with COPY and ERASE and a few other programs.  I
  87. waited for a while, read a magazine--no signs of a simple timing
  88. technique.  I began to think that NOTROJ might be more incompetent than
  89. vicious.  Something about the documentation made it seem unlikely that
  90. the author was a criminal.  It occurred to me, however, that the author
  91. might have had some time to waste on this program.  Does he, perhaps,
  92. check to see how full the hard disk is?  It would be reasonable to evade
  93. detection immediately after a bomb by making it impossible to reproduce
  94. the crash.  In addition, it would be much more painful for people if they
  95. have restored all of their files or gradually rebuilt their hard disks
  96. before they discover that this is a trojan horse.  So, I restored all of
  97. my files.
  98.  
  99. This time, Norton's NU command turned out to be the great blackguard that
  100. was trying to format my disk (according to NOTROJ--although it was only
  101. reading the FAT).  So, I restored my hard disk.  All of the while,
  102. however, I had the nagging feeling that the documentation did not reflect
  103. the personality of someone vicious.  When I got running again, I took a
  104. look into NOTROJ.COM.  Nowhere could I find the words from the message
  105. "Softguard-style low-level disk format."  That convinced me.  I have
  106. concealed passwords on mainframes by assembling strings dynamically
  107. instead of storing them statically.  Our trojanette must have used the
  108. same technique so that no one would spot the suspicious messages.  I had
  109. counted on being able to get them directly from the program so that I
  110. would not have to take the time to write the whole message down while my
  111. system was being operated on.  I do recall NOTROJ patting itself on the
  112. back, however, for preventing "further damage."
  113.  
  114. As I think back on it, the documentation contains something of a rant
  115. against copy-protection schemes, including Softguard.  In addition, I had
  116. always been troubled by the fact that the name NOTROJ is an acrostic for
  117. TROJAN and also an assertion that the program is not itself a trojan.
  118. The documentation is also very badly written.  One has to experiment to
  119. make sense of it, although that is nothing new in software documentation.
  120. Also, the style is something of a pidgin English, which seems consistent
  121. with the fact that the author has an Oriental name (Ng, or is that for
  122. "no good"?).  Well, since the author's name and address are listed in the
  123. documentation, I decided to give him a call.  Mirabile dictu!  It's a
  124. real name, and I got a real number--I just didn't get an answer, even at
  125. 2 a.m.  It doesn't make much difference anyway, there's nothing that he
  126. can say to convince me that he had legitimate reasons for concealing
  127. error messages and that his program is not a trojan horse.  There is also
  128. the possibility that the person listed as author has nothing to do with
  129. the program.  Could the pidgin style of the documentation be the work of
  130. a clever linguist--an acrostic fan--a sick person who considers himself
  131. to be the bozo that Sherlock Holmes was always after?  Who knows?  I have
  132. to write a book.  No time to play with these fools.
  133.  
  134. So, be careful.  Note that sysops don't have the time to test every
  135. program extensively.  If a program like NOTROJ requires that a disk be
  136. more than 70% full, for example, a lot of people may never have any
  137. problems with it.  What else can we do?  Does someone want to try to
  138. prosecute the author of NOTROJ?  And how do we keep ourselves from
  139. becoming paranoid about new noncommerical software?
  140.  
  141. Eventually, I think it will all shake out just fine.  Those of us who are
  142. prepared for problems provide others with the testing and filtering.
  143. Junk like NOTROJ just does not make it into my community.  Actually, I
  144. find mediocre software much more of a problem.  I have spent a lot of
  145. time and money sorting through megabytes of chaff to find but a few
  146. grains of wheat.  I would like to see us find some way to constrict the
  147. growth of chaff and worms both.  If we can't do this, many of us may
  148. have to switch to commercial software.
  149.  
  150. --Jim
  151.  
  152.  
  153. Replies may be made to:
  154. BITNET:  JAZBO@BROWNVM
  155. BBS:     The BOSS, BCS, Hal's, et passim
  156. BIX:     jcoombs
  157.