home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.47

< prev

next >

Wrap

Text File  |  1995-01-03  |  9KB  |  197 lines

---

1. VIRUS-L Digest             Tuesday, 14 Feb 1989         Volume 2 : Issue 47
2.  
3. Today's Topics:
4. Valetine's Day trojan horse (VAX/VMS)
5. Re: Valentine's Day VTxxx trojan horse mail message (VAX/VMS)
6. VIRUS-L LISTSERV files now available via anonymous FTP
7.  
8. ---------------------------------------------------------------------------
9.  
10. Date:     Tue, 14 Feb 89 11:21 EST
11. From:     Cincinnati Bengals. <KUMMER@XAVIER.BITNET>
12. Subject:  Valetine's Day trojan horse (VAX/VMS)
13.  
14.      This rumor is an obvious attempt to capatilize on the virus
15. hysteria and cause people to be afraid to do anything on the computer.
16. I'd be willing to bet money that it's impossible that when a mail
17. message is read, the message causes files to be deleted.  Either the
18. rumor was improperly relayed, or someone is trying to cause fear in
19. VAX/VMS users all over by spreading an absolutely absurd rumor.
20.  
21. Tom Kummer
22.  
23. ------------------------------
24.  
25. Date: Tue, 14 Feb 89 13:10:16 est
26. From: Stuart Labovitz <labovitz%etd2.dnet@wpafb-avlab.arpa>
27. Subject: Re: Valentine's Day VTxxx trojan horse mail message (VAX/VMS)
28.  
29. In order to get some "expert" opinions on this virus/trojan alert, I
30. forwarded a copy of the VALERT message to the Info-VAX mailing list
31. (Info-VAX@KL.SRI.COM).  Jerry Leichter has responded directly to
32. VIRUS-L, but appended below is another response (refering to Jerry's
33. message) from Stephen Dowdy.  I will forward any other relevant
34. responses on to VIRUS-L, as well.
35.  
36.                                 LT Stuart L Labovitz
37.                                 USAF Electronic Technology Laboratory
38.                         arpa:   Labovitz%Etd2.decnet@Wpafb-avlab.arpa
39.  
40.                            I bark, therefore I am.
41.                                           --Descarte's dog
42.  
43. = = = = = = = = = = message from Stephen Dowdy follows = = = = = = = = = = =
44.  
45. LEICHTER@VENUS.YCC.YALE.EDU ("Jerry Leichter ") writes:
46.  
47. ]    The rumor is that a Valentine's Day message has been prepared
48. ]    that has the potential for causing lots of personal (and operational)
49. ]    havoc.  Any user who reads this message, on a VAX system, using a
50. ]    standard DEC terminal, will have all of his files deleted.  This
51. ]    little nastygram is rumored to also put a sweet message and heart on
52. ]    the screen while doing its dirty work.  A nice touch.
53. ]
54. ]This "rumor" is a wonderful example of a kind of "denial of service"
55. ]virus.  It infects the "wetware" of susceptible users.  Different
56. ]forms of this rumor have been floating around for several days now;
57. ]they've been passed around internally to DEC, for example.
58. ]
59. ]There is NO truth behind this rumor.  What it describes is
60. ]impossible, ...
61.  
62. (there is a lot of truth to the concept.  DO NOT BLOW THIS OFF AS
63. IMPOSSIBLE)
64.  
65. ]  a)  The VMS MAIL program filters out escape and control sequences
66. ]       when presenting mail to the user.  Even if there were a
67. ]       sequence which could cause damage, it can never reach the
68. ]       terminal as long as you use only READ to look at the message.
69.  
70. VMS Mail did not always filter out control characters.  I remember
71. reading (in 3.7 i believe) a mail file of the famous Champagne Glass
72. Line drawing set animation.
73.  
74. ]  b)  A message COULD suggest that you type EXTRACT TT:, which would
75. ]       copy the message unfiltered to your terminal.  This trick
76. ]       is often used to send, say, ReGIS pictures through the mail.
77. ]       Obviously, this is a deliberate action - you have to be wil-
78. ]       ling to do it.  Just on general principles, you should NOT do
79. ]       this with a message from someone you don't know.
80. ]
81. ]       A message could also tell you:  Type EXTRACT FOO.COM, CTRL/Z,
82. ]       and @FOO.  If you go ahead and do that,  you will create and
83. ]       execute a command file which could do anything at all.
84. ]
85. ]       Then again, the message COULD tell you "Shoot yourself in the
86. ]       head".
87.  
88. Then again, the people who are hit by this form of trojan horse are not
89. generally computer literate.  If the message does say
90.         EXTRACT/NOHEAD FOO.COM
91. the user *WILL* do it.
92.  
93. ]   d)  UDK's (User Defined Keys) are a slightly different story.  You can
94. ]       load them from the host but:
95. ]
96. ]       1.  It is impossible for the host to force the terminal to
97. ]               send the contents of a UDK - you must deliberately
98. ]               type SHIFT with a function key to get the value sent.
99. ]
100. ]       2.  When you load UDK's, you may ask the terminal to "lock"
101. ]               them.  Once the UDK's are locked, any further attempts
102. ]               load them are ignored.  Nothing the host sends can
103. ]               unlock the UDK's - it can be done only from SETUP or
104. ]               by power-cycling the terminal.
105. ]
106. ]       If you don't use UDK's, (1) should protect you.  If you DO use
107. ]       UDK's, (2) can protect you (though you have to make sure you
108. ]       lock the definitions).
109.  
110. Ah, but again, the kind of user who falls for this type of trojan
111. horse is not literate enough to know these things.  It doesn't matter
112. how many ways there are to divert mal-intented individuals, the common
113. user is not going to use them. (and *someone* will have to restore
114. their files, or the OS if the person has privs)
115.  
116. ]       In any case, on the VT330 and VT340, there is a SETUP option
117. ]       which disables block mode, so this becomes a non-issue.
118.  
119. (once again... Joe User may not even know how to use SETUP.)
120.  
121. ]       I have no particular compatibles in mind here - there may not
122. ]       actually BE any which have made this kind of change.  But to
123. ]       be safe, you have to be wary.  I'd be ESPECIALLY wary of ter-
124. ]       minal emulation programs running on PC's - they often have the
125. ]       opportunity to provide all sorts of nifty, but dangerous,
126. ]       features which the hardware manufacturers find too expensive
127. ]       to include.
128. ]                                                       -- Jerry
129.  
130. Back in the days of 4.2 BSD Unix, when the ttys weren't protected by
131. group ownership 'ttys', i wrote a program exploiting a "feature" of
132. the Televideo 912/910 that allowed one to write to a user's terminal
133. (in BSD, if they had MESG Y), and have the terminal send that command
134. back.  Needless to say, any person with mesg y, and root on a tvi was
135. asking the system to go down.  (i never use any of these things for
136. malicious purposes, just to get the point across to people that there
137. are *MANY* non-obvious ways to break security).
138.  
139. Though, i agree that this reported trojan horse is probably not real,
140. in it's reported form, it is *VERY* real as a general security issue.
141. If i download your keys with a string, and you press that key, you're
142. are in trouble.  And no amount of convincing is going to make
143. non-knowledgable users do what they should (lock keys, reset the
144. terminal before logging in...; heck, i don't even do these things,
145. since it is such a pain)
146.  
147. Take a word of caution from the message.  It is possible to do these
148. things.  (and though i would really like to make my process name in
149. double wide characters for show users, i understand DECs approach to
150. dropping out control characters, it is probably the correct approach
151. in dealing with overly-"smart" terminals)
152.  
153. - --stephen
154. - --
155. $!#######################################################################
156. $! stephen dowdy (UNM CIRT) Albuquerque, New Mexico, 87131 (505) 277-8044
157. $! Usenet:   {convex,ucbvax,gatech,csu-cs,anl-mcs}!unmvax!charon!sdowdy
158. $! BITNET:   sdowdy@unmb
159. $! Internet: sdowdy@charon.UNM.EDU
160. $!      Team SPAM in '87!            SPAAAAAAAAAAAAAAAAAAAAMMMMMMM!
161. $!#######################################################################
162.  
163. = = = = = = = = = = message from Stephen Dowdy ends = = = = = = = = = = = =
164.  
165. ------------------------------
166.  
167. Date: Tue, 14 Feb 89 14:06:35 est
168. From: ubu!luken@lehi3b15.csee.lehigh.edu
169. Subject: VIRUS-L LISTSERV files now available via anonymous FTP
170.  
171. Internet (including ARPAnet, MILNET, NSFNET, etc.) users can now
172. access the VIRUS-L archives and backlogs via anonymous FTP to
173. IBM1.CC.LEHIGH.EDU.
174.  
175. Once logged in, issue a CD (or CWD) command to connect to either
176. VIRUS-L (for the log files) or VIRUS-P (for the archive programs).
177. At that point, the standard GET command will retrieve files, and the
178. DIR command will list available files.
179.  
180. The anonymous FTP is very new on our VM/CMS machine, so please report
181. any problems to me.  We currently know of some quirks when FTPing from
182. Sun workstations - it takes several commands before anything happens.
183. It has successfully been tested from other machines, however,
184. including VAX/VMS (CMU TCP/IP) and Zenith PCs (NCSA TCP/IP).
185.  
186. I hope that this adds to the functionality of the forum somewhat, even
187. though loading files onto the LISTSERV filelist is still as difficult
188. as ever...
189.  
190. Ken van Wyk
191.  
192. ------------------------------
193.  
194. End of VIRUS-L Digest
195. *********************
196. Downloaded From P-80 International Information Systems 304-744-2253
197.