home *** CD-ROM | disk | FTP | other *** search

---

/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-15 / hsdiag.msg

< prev

next >

Wrap

Text File  |  1993-04-10  |  5KB  |  128 lines

---

1.  
2.                                 HSDIAG.ZIP WARNING!!!
3.                                 ~~~~~~~~~~~~~~~~~~~~~
4.                                 
5. The file HSDIAG.ZIP, masquerading as a high speed modem diagnostic
6. utility is a Torjan horse.
7.  
8. This is a PRELIMINARY report and will be expanded and/or modified
9. (and probably corrected) in due course.
10.  
11. I received HSDIAG from Bob Feldman today, and have not had sufficient 
12. time to disassemble HSDIAG.EXE completely, but I have done enough to 
13. determine that the program will overwrite the first 255 sectors on the 
14. first eight drives on a system!
15.  
16. The Trojan begins with the highest number drive and works downward,
17. finishing with the floppy diskette in Drive A, if such exists.  In
18. addition to data loss, the system will no longer be bootable from
19. the hard drive.
20.  
21. Error messages are suppressed and once started, the Trojan can NOT
22. be halted by a Ctrl-C or Ctrl-Break key sequence.  
23.  
24. No virus scanner in my arsenal twigs to the Trojan, nor does
25. F-PROT 2.07 in heuristic mode find anything suspicious.  This is 
26. not at all surprising, and one shouldn't expect any virus scanner
27. to provide protection against Trojan programs.
28.  
29. However, tired old PROGNOSE warns of possible danger.
30.  
31. The following strings can be found in HSDIAG.EXE:
32.  
33.      18C:      High Speed Modem Diagnostics      
34.      1B6:              Version 1.0               
35.      1E0:         Sound Blaster Support          
36.      232: )       Written by Bully Bros, Incoporated)
37.           Please Press [ENTER] To Load Diagnostics,
38.      287: Please wait ..
39.      296: ..Loading Done!#Press [ENTER] to Start Diagnostics.
40.      2CA: Bully Bros.Dallas TX.
41.      2E0: -Copyrite (C) 1993 Bully Bros. Raj And Asshole
42.      DF0: #$456789:;<=>?uRuntime error 
43.      E0E:  at 
44.  
45.  
46. The Trojan archive contents are:
47.  
48. Archive:  HSDIAG.ZIP
49.  
50. Name          Length    Method     SF   Size now  Mod Date    Time     CRC
51. ============  ========  ========  ====  ========  =========  ======== ========
52. HSDIAG.EXE        4864  Deflated   34       3172  08 Mar 93  22:03:58 1C84FC4D
53. FILE_ID.DIZ        245  Deflated    7        228  17 Mar 93  02:02:50 7CF5CBD2
54. HSDIAG1.DAT      17264  Deflated   36      11044  27 Nov 92  13:47:34 46B34F7D
55. HSDIAG2.DAT       7121  Deflated   57       3012  27 Nov 92  13:47:34 7127D2C7
56. HELP.DAT          4064  Deflated   31       2802  27 Nov 92  13:47:34 6FD0DD60
57. UART1.DAT         5872  Deflated   39       3542  27 Nov 92  13:47:34 AFB5E3CE
58. HSDIAG3.DAT       2848  Deflated   50       1404  27 Nov 92  13:47:34 0089171B
59. ============  ========  ========  ====  ========  =========  ======== ========
60. *total     7     42278  ZIP 2.0    38%     26706  10 Apr 93  11:23:42 
61.  
62. All executables in the archive appear to have been written with
63. Borland's Turbo Pascal, version 4.0 or higher.  Since I am not a
64. Pascal programmer, I can't really be certain on this point.
65.  
66. I am absolutely certain that all of the .DAT files were taken from 
67. Joseph Sheppard's ATSEND v.1.8 and have merely been renamed.  The
68. contents of ATSEND18.ZIP are listed below, and I have done a 
69. byte-by-byte comparison of the .DAT files from the hack with the
70. files in ATSEND18.ZIP to verify this.
71.  
72. Archive:  ATSEND18.ZIP
73.  
74. Name          Length    Method     SF   Size now  Mod Date    Time     CRC
75. ============  ========  ========  ====  ========  =========  ======== ========
76. ATSEND.EXE       17264  Imploded   33      11452  27 Nov 92  13:47:34 46B34F7D
77. ATSEND.DOC        7121  Imploded   55       3142  27 Nov 92  13:47:34 7127D2C7
78. HEX2DEC.EXE       4064  Imploded   28       2899  27 Nov 92  13:47:34 6FD0DD60
79. ATBATCH.EXE       5872  Imploded   37       3688  27 Nov 92  13:47:34 AFB5E3CE
80. FILE_ID.DIZ        332  Imploded    9        302  27 Nov 92  13:49:38 09F0E0D8
81. ATSEND.NEW        2848  Imploded   44       1589  27 Nov 92  13:47:34 0089171B
82. ============  ========  ========  ====  ========  =========  ======== ========
83. *total     6     37501  ZIP 1.10   36%     23708  27 Nov 92  13:49:38 
84.  
85.  
86. I received HSDIAG in ZIP 2.0 format and have no idea whether the
87. author of the Trojan released it initially in an archive created
88. with PKZip 1.10 with a forged -AV or not.  Mr. Sheppard uses the
89. AV feature of PKZip to provide some slight measure of security:
90.  
91. PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
92. Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
93. PKUNZIP Reg. U.S. Pat. and Tm. Off.
94.  
95. Searching ZIP: ATSEND18.ZIP
96. Testing: ATSEND.EXE    OK -AV
97. Testing: ATSEND.DOC    OK -AV
98. Testing: HEX2DEC.EXE   OK -AV
99. Testing: ATBATCH.EXE   OK -AV
100. Testing: FILE_ID.DIZ   OK -AV
101. Testing: ATSEND.NEW    OK -AV
102.  
103. Authentic files Verified!   # CRI220   Joseph Sheppard
104.  
105. The hacked archive, HSDIAG.ZIP contains a FILE_ID.DIZ file:
106.  
107. ░▒▓ High Speed Modem Diagnostics ▓▒░
108. Superb tool for testing and configuring high
109. speed (9600bps and up) modems.  Reports on
110. UART, FIFO, S-Registers, and full NVRAM
111. editor with context sensitve help.  $35
112. Written by: Norman Shelbert <ASP>
113.  
114. This is NOT the FILE_ID.DIZ from Sheppard's ATSEND18.
115. Don't know who Norman Shelbert may be, but possibly there
116. is a legitimate high speed modem diagnostic program
117. written by such a person, and the FILE_ID.DIZ may have
118. been lifted from that program.
119.  
120. If at all possible, I will post further information 
121. within the next day or two.
122.  
123.  
124. R. Wallace Hale, sysop
125. Driftnet (506) 325-9002
126.  
127. 10 April 1993
128.