home *** CD-ROM | disk | FTP | other *** search
/ Shareware Grab Bag / Shareware Grab Bag.iso / 090 / danger.txt < prev    next >
Encoding:
Text File  |  1986-10-02  |  7.9 KB  |  139 lines
  1. Here is a recent statement, which appeared on an IBM PC information users
  2. group, reguarding a trojan horse program (NOTROJ.ARC/NOTROJ.COM) of the worst
  3. kind.  One that intentionally destroys data in a way that covers up the
  4. program actually destroying data and makes it appear that the guilty
  5. program is actually trying to help by protecting against trojan programs.
  6.  
  7. NOTROJ.COM is a TROJAN HORSE (comes in NOTROJ.ARC--for now).
  8.  
  9. I first became aware of NOTROJ when a member of The BOSS BBS community
  10. reported his belief that the program destroyed the directory of his hard
  11. disk.  After two days of restoring his files, he concluded:
  12.  
  13.          This Trojan was written by a real Pro---he knows his ASM and
  14.          uses it as a weapon---not a tool.  From lokkin' at the job he
  15.          did on me, I tendto doubt that I would have found the bomb has I
  16.          been smart enough to look. ---PLEASE!!!!!  Spread the word 'bout
  17.          this one.  It's a Killer!
  18.  
  19. In the next couple of days, I saw a similar note on the Boston Computer
  20. Society bulletin board.  This victim rather pathetically credits NOTROJ
  21. with a "valiant" attempt at saving his data.
  22.  
  23.          The program in question is a time-bomb (about 10 minutes) and
  24.          works by the "SOFTGUARD UNFORMAT" method of attack.  I'm not
  25.          sure what it did, or how it did it, or even how I could have
  26.          recovered the disk but the NOTROJ program I had in the
  27.          background alerted me to the fact, and tried a valiant attempt
  28.          to shut down the hard disk.  To no avail, though.
  29.  
  30. Since my hard disk was becoming fragmented anyway, I decided to test
  31. NOTROJ.  Everything looked pretty reasonable from the start; in fact, the
  32. program looks like a very useful tool (although I'm not in love with the
  33. interface).  One loads NOTROJ resident and then accesses the options menu
  34. through Alt-N.  The menu contains about fifteen items, some of them
  35. annotated "DANGER", e.g., "Format track (DANGER!)".  For each parameter,
  36. the user can select one of four responses: Proceed, Timeout, Reboot, or
  37. Bad Command.  The menu also provides a fifth option--"Pause&Display"--
  38. which provides the user with full information on the activity that the
  39. currently active program is trying to perform and prompts for one of the
  40. four primary actions, e.g, Proceed.
  41.  
  42. I selected "Pause&Display" for all of the DANGERous parameters.
  43. Everything worked fine, although I found that iteratively selecting
  44. "Timeout" in response to the "Write sectors" interrupt hung up the
  45. machine.  I fooled around with a number of commands and finally
  46. reproduced the disk crash.  At the time, I was running the DOS ERASE
  47. command (I had been suspicious of that one for quite some time anyway).
  48. I don't have the full message that the program displayed, but I did write
  49. down this much "Softguard-style low-level disk format."  (Keep those
  50. words in mind.)
  51.  
  52. In spite of the fact that I had prepared for a disk crash, it took me at
  53. least an hour to get running again.  When I booted the machine, I was
  54. thrown into BASIC and could not get back to the system.  I put a DOS
  55. diskette in, and got an invalid drive error message when I tried to
  56. access the hard disk.  Here is the recovery procedure for this and most
  57. disk crashes:
  58.  
  59. 1) Insert DOS system disk in drive A.
  60. 2) Reboot the machine.
  61. 3) Run FDISK and install a DOS partition on the hard disk.
  62. 4) Format the hard disk with the '/S' option.
  63. 5) Restore files from the most recent full-disk Bernoulli or tape
  64.    backup.
  65. 6) Restore files modified since the most recent full-disk Bernoulli
  66.    or tape backup.
  67.  
  68. Once I got a minimal system running, I decided to reproduce the crash to
  69. ensure that this was not some quirk of bad programming.  What, ho!  I got
  70. bored playing around with COPY and ERASE and a few other programs.  I
  71. waited for a while, read a magazine--no signs of a simple timing
  72. technique.  I began to think that NOTROJ might be more incompetent than
  73. vicious.  Something about the documentation made it seem unlikely that
  74. the author was a criminal.  It occurred to me, however, that the author
  75. might have had some time to waste on this program.  Does he, perhaps,
  76. check to see how full the hard disk is?  It would be reasonable to evade
  77. detection immediately after a bomb by making it impossible to reproduce
  78. the crash.  In addition, it would be much more painful for people if they
  79. have restored all of their files or gradually rebuilt their hard disks
  80. before they discover that this is a trojan horse.  So, I restored all of
  81. my files.
  82.  
  83. This time, Norton's NU command turned out to be the great blackguard that
  84. was trying to format my disk (according to NOTROJ--although it was only
  85. reading the FAT).  So, I restored my hard disk.  All of the while,
  86. however, I had the nagging feeling that the documentation did not reflect
  87. the personality of someone vicious.  When I got running again, I took a
  88. look into NOTROJ.COM.  Nowhere could I find the words from the message
  89. "Softguard-style low-level disk format."  That convinced me.  I have
  90. concealed passwords on mainframes by assembling strings dynamically
  91. instead of storing them statically.  Our trojanette must have used the
  92. same technique so that no one would spot the suspicious messages.  I had
  93. counted on being able to get them directly from the program so that I
  94. would not have to take the time to write the whole message down while my
  95. system was being operated on.  I do recall NOTROJ patting itself on the
  96. back, however, for preventing "further damage."
  97.  
  98. As I think back on it, the documentation contains something of a rant
  99. against copy-protection schemes, including Softguard.  In addition, I had
  100. always been troubled by the fact that the name NOTROJ is an acrostic for
  101. TROJAN and also an assertion that the program is not itself a trojan.
  102. The documentation is also very badly written.  One has to experiment to
  103. make sense of it, although that is nothing new in software documentation.
  104. Also, the style is something of a pidgin English, which seems consistent
  105. with the fact that the author has an Oriental name (Ng, or is that for
  106. "no good"?).  Well, since the author's name and address are listed in the
  107. documentation, I decided to give him a call.  Mirabile dictu!  It's a
  108. real name, and I got a real number--I just didn't get an answer, even at
  109. 2 a.m.  It doesn't make much difference anyway, there's nothing that he
  110. can say to convince me that he had legitimate reasons for concealing
  111. error messages and that his program is not a trojan horse.  There is also
  112. the possibility that the person listed as author has nothing to do with
  113. the program.  Could the pidgin style of the documentation be the work of
  114. a clever linguist--an acrostic fan--a sick person who considers himself
  115. to be the bozo that Sherlock Holmes was always after?  Who knows?  I have
  116. to write a book.  No time to play with these fools.
  117.  
  118. So, be careful.  Note that sysops don't have the time to test every
  119. program extensively.  If a program like NOTROJ requires that a disk be
  120. more than 70% full, for example, a lot of people may never have any
  121. problems with it.  What else can we do?  Does someone want to try to
  122. prosecute the author of NOTROJ?  And how do we keep ourselves from
  123. becoming paranoid about new noncommerical software?
  124.  
  125. Eventually, I think it will all shake out just fine.  Those of us who are
  126. prepared for problems provide others with the testing and filtering.
  127. Junk like NOTROJ just does not make it into my community.  Actually, I
  128. find mediocre software much more of a problem.  I have spent a lot of
  129. time and money sorting through megabytes of chaff to find but a few
  130. grains of wheat.  I would like to see us find some way to constrict the
  131. growth of chaff and worms both.  If we can't do this, many of us may
  132. have to switch to commercial software.
  133.  
  134. --Jim
  135.  
  136.  
  137. Replies may be made to:
  138. BITNET:  JAZBO@BROWNVM
  139.