home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00468.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  9.0 KB  |  197 lines
  1.                 RUMORS OF WORMS AND TROJAN HORSES
  2.                Danger Lurking in the Public Domain
  3.  
  4.                introduced and edited by Mike Guffey
  5.  
  6. -INTRODUCTION
  7.  
  8. There are literally thousands of free (or nearly  free)  programs
  9. available in computerdom's Public Domain. Those who use them save
  10. hundreds of  dollars  and  thousands of hours.  But many sneer at
  11. the  idea of anything  worthwhile  being  "free".  Thus  personal
  12. computing becomes divided into two camps: those who believe there
  13. are two camps and the rest who use  Public  Domain  software (but
  14. sport no sense of moral superiority).
  15.  
  16. For several years now  rumors  have  circulated  about  dangerous
  17. programs  which,  when  run,   infest  the  innards  of  personal
  18. computers  like  parasites.   And  unlike  most  software,  these
  19. insideous programs don't go away when the power is shut off.  The
  20. story  is  they  invade  ROMs  and "eat" memory  away  each  time
  21. hardware is powered up.
  22.  
  23. The legends have a basis in fact.  For such horrors =do= exist in
  24. the world of mainframes.  Probably first  created  by  a bored or
  25. disgruntled programmer, such programs  have been unleashed inside
  26. some  of  this country's largest computers.  Generally, they  are
  27. not outwardly visible, but begin the  attack  like  a  low  grade
  28. fever.   And these horrible little strings of code  do  damage  a
  29. little at a time, slowly building in intensity.  At first, things
  30. start going slightly awry.   Ultimately,  the  system  crashes or
  31. must  be  shut  down.  One recent magazine article  called  these
  32. creations "computer viruses".  Just =how=  damaging such programs
  33. can be (or have  been)  has  not  been fully publicized.  But the
  34. facts  lie   on  a  razor's  edge  between  science  fiction  and
  35. tomorrow's  headlines.   They are  believed  to  pose  a  serious
  36. potential threat to national security.
  37.  
  38. Some say the first of such monsters appeared on computer bulletin
  39. boards  (BBS's)  named  "WORM.COM".  [Remember  that  it is  only
  40. recently that any online descriptions began to be posted next  to
  41. program names.  Some  BBS's, notably CP/M based systems, still do
  42. not offer any explanation beyond the program name or notes in the
  43. associated message base part of the system.]   And  almost  every
  44. computer user  group  has at least one experienced member who can
  45. tell  the  horrible  tales  of  what  these  programs do.  Actual
  46. witnesses to the destruction or victims of the atrocities seem to
  47. be =very= rare.
  48.  
  49. Related to  the twisted thinking behind such criminal mischief is
  50. the so-called "TWIT" phenomenon.   Twits are computer vandals who
  51. glory  in  breaking  into  and  "crashing" or seriously  damaging
  52. remote computer  systems.   The  targets  range from neighborhood
  53. BBS's to any large  computers  which  can  be  accessed via phone
  54. lines.  And while such  mental midgets have beeâ•–hglorified in the
  55. media and mis-labeled as  "hackers",  their very existence causes
  56. hysteria in and amongst the non-computing public at large.
  57.  
  58. Computer security for  large and small remote computer systems is
  59. getting better at screening out or scaring off "twits". But  they
  60. still exist.  There are indications that some have graduated from
  61. incessant attempts to break into BBS's. Instead  they bring forth
  62. Trojan  horses:  damaging  programs  disguised as  utilities  and
  63. mis-labled  or  misdocumented as  new  treasures  of  the  Public
  64. Domain.
  65.                             ===]#[===
  66.  
  67. The following data was recently retreived from a California BBS:
  68.  
  69. WARNING! DANGEROUS PROGRAMS
  70.  
  71. 1)  Warning:  Someone is [or may be] trying to destroy your data.
  72. Beware  of  a  SUDDEN upsurge of [spurious] programs on  Bulletin
  73. Boards and in the Public Domain.  These  programs  purport  to be
  74. useful  utilities,  but,  in  reality,  are designed to sack your
  75. system.
  76.  
  77. One has shown up as EGABTR, a program that claims to show you how
  78. to maximize the  features  of IBM'S Enhanced Graphics Adapter. It
  79. has also been  spotted renamed as  a new super-directory program.
  80. It actually erases the  (F)ile (A)llocation (T)ables on your hard
  81. disk, [thereby rendering all data useless and inaccessible].  For
  82. good measure, it asks you to put a disk in Drive A:, then another
  83. in Drive B:. After it has erased those FATs too, it displays,
  84.  
  85.                      "  Got You! Arf! Arf!  "
  86.  
  87. Don't [casually] run  any  public-domain  program  that  is not a
  88. known quantity.  Have  someone  you  know and trust vouch for it.
  89. ALWAYS  examine  it  FIRST  with  DEBUG  [or  DDT  or  a  similar
  90. utility].  Look at all the ASCII  strings  and data.  If there is
  91. anything even slightly suspicious about it, [either] do a cursory
  92. disassembly [or discard it].   [For  MSDOS  programs]  be wary of
  93. disk  calls  (INTERRUPT  13H),  especially  if the program has no
  94. business writing  to  the  disk.   Run your system in Floppy only
  95. mode with write protect  tabs  on  the  disk or junk disks in the
  96. drives.
  97.  
  98. Speaking  of  Greeks  bearing  gifts,  Aristotle  said  that  the
  99. unexamined life is not worth living.  The unexamined program [may
  100. not be] worth running.
  101.  
  102. - from The Editors of PC
  103.   July 23, 1985
  104.   Volume 4, Number 15
  105.  
  106.  
  107. 2) Making the rounds of the REMOTE BULLETIN BOARDS [is] a program
  108. called VDIR.COM. It is  a little hard to tell what the program is
  109. suppose to do.
  110.  
  111. What it actually does is TRASH your system.   It  writes  garbage
  112. onto  ANY  disk it can find, including hard disks, and flashes up
  113. various messages telling you what it is doing.  It's a TIME BOMB:
  114. once run, you can't  be  sure  what  will  happen next because it
  115. doesn't always do anything immediately.  At a later time, though,
  116. it  can  CRASH  your system.  Anyway,  you'd  do  well  to  avoid
  117. VDIR.COM. I expect there are a  couple  of harmless, perhaps even
  118. useful, Public Domain programs floating about with the name VDIR;
  119. and,  of course, anyone warped enough to launch this kind of trap
  120. once,  can  do  it  again.   Be  careful  about  untested  "free"
  121. software.
  122.  
  123. [paraphrased from
  124.  Computing at Chaos Manor
  125.  From the living Room
  126.  By Jerry Pournelle
  127.  BYTE Magazine, The small systems Journal]
  128.  
  129.  
  130. Two other examples of this type of program:
  131.  
  132. 1. STAR.EXE presents a screen  of  stars  then copies RBBS-PC.DEF
  133. and renames it.  The  caller  then  calls  back later and d/l the
  134. innocently  named file, and he then has the SYSOP'S and  all  the
  135. Users passwords.
  136.  
  137. 2. SECRET.BAS This file was left on an RBBS with a message saying
  138. that the caller got  the file from a mainframe, and could not get
  139. the file to run on his PC, and asked someone to try it out.  When
  140. it was executed, it formatted all disks on the system.
  141.  
  142. We must remember, that there are a few  idiots  out there who get
  143. great   pleasure   from   destroying  other  peoples'  equipment.
  144. Perverted  I know, but we, the serious computer users, must  take
  145. an active part in fighting against this type of stuff, to protect
  146. what we have.  Be sure  to  spread  this [message] to other BBS's
  147. across the country so that as many  people  as  possible  will be
  148. aware of what is going on.
  149.  
  150. [from
  151. The Flint Board
  152. Flint, Mich
  153. (313) 736-8031]
  154.                             ===]#[===
  155.  
  156. -EPILOGUE
  157.  
  158. Got your attention?  There is no need  to  hatchet your modem and
  159. erase  your communications software.  While such programs can  do
  160. tremendous  damage,  they   are,  fortunately,  very  rare.   The
  161. following  is  an  expansion  of  the  countermeasures  suggested
  162. above.
  163.  
  164. A)  Never, NEVER, N>E>V>E>R>!  download  and  run  Public  Domain
  165. software (the first time) on a hard disk.   While  many  programs
  166. are  well  known,  it  is  a  logical  presumption  that   Trojan
  167. horse-type  programs may have been uploaded with the  name  of  a
  168. well-known  utility.   Or  as  a  new version of one of your  old
  169. favorites.  Download them to a blank floppy or to a disk you have
  170. a current backup copy of.
  171.  
  172. B) Get in the habit of examining unknown  software with HEX/ASCII
  173. utilities that will reveal copyright data, documentation, program
  174. error and prompt messages.   A  good  choice  in  MSDOS is called
  175. PATCH.COM and in CP/M there is DUMPX.COM. Even  if  a  program is
  176. written in protected BASIC, you may still be able  to  find  some
  177. useful data this  way.  [This is also a way to find documentation
  178. within programs without .DOC files or descriptions.]
  179.  
  180. C) Be wary of text files suggesting  patches  with  DEBUG  or DDT
  181. that you do not understand.  ALWAYS make such modifications to  a
  182. backup copy of your .COM, .EXE, .OVR  files.   There are no known
  183. examples of Trojan horses appearing this way, but...
  184.  
  185. D) Make those BBS's which  screen  programs  before  making  them
  186. available your first (but not your only) choice for acquiring new
  187. PD software.   If  you  cannot  figure  out  what a program does,
  188. =don't= upload it to some other BBS.
  189.  
  190. E)  Be wary but not paranoid.  Be  careful but not  overcautious.
  191. Do not fan the fires of hysteria by passing along rumors of worms
  192. and Trojan horses.   Speak  of what you =know=. There are alot of
  193. good public domain programs that will do what you need.  And when
  194. you find it, pass it along.
  195.  
  196. -end-
  197.