home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4267 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  6.2 KB
  1. Path: sparky!uunet!ukma!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: RZOTTO@NYX.UNI-KONSTANZ.DE (Otto Stolz)
  3. Newsgroups: comp.virus
  4. Subject: Re: CHRISTMA: The "Card"! (CVP)
  5. Message-ID: <0020.9211121950.AA09997@barnabas.cert.org>
  6. Date: 11 Nov 92 15:36:28 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 134
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. On Fri, 06 Nov 92 12:21:47 -0800 Robert M. Slade <rslade@sfu.ca> said:
  12. > HISVIRH.CVP   921022
  13. >
  14. >                      CHRISTMA EXEC - the card
  15.  
  16. Though Robert Slade's reports are usually quite reliable, I have to
  17. mend some (admittedly: minor) errors and omissions in this particular
  18. one. On this occasion, I'd like to thank Robert for the valuable
  19. service he has provided to the VIRUS-L subscribers.
  20.  
  21. > In December of 1987 IBM mainframe computers in Europe, connected via
  22. > the EARN network, experienced a "mailstorm".
  23.  
  24. Actually, the mailstorm was not confined to Europe. EARN is only part
  25. of a world-wide academic network; other parts of this network are
  26. known as "Bitnet", and "Netnorth". The mailstorm origined in Europe
  27. (in the University at the small German town Clausthal-Zellerfeld, if I
  28. am not mistaken), and wandered once around the globe, in about three
  29. days. Allegedly, it also hit the IBM internal network, VNet, which was
  30. connected to Bitnet via a gateway that would let pass information only
  31. between selected partners.
  32.  
  33. However, not all computers in the network were affected alike.
  34. EARN/Bitnet/Northnet (in the sequel, I'll use "Bitnet" as an
  35. abbreviation) is a heterogenious network, connecting computers of many
  36. different brands.  CHRISTMA EXEC can only reproduce in the CMS, one of
  37. the operating systems that run in IBM, and compatible, hosts. The CMS
  38. hosts were busy reproducing and sending the EXEC, while the other
  39. hosts just suffered from the dramatically increased network load.
  40.  
  41. > This mailstorm,
  42. > however, was of unprecedented severity.  It shut down whole sections
  43. > of the net, at least as far as effective work was concerned.
  44.  
  45. Yes. The reason being, that Bitnet is a store-and-forward network.
  46. I.e., a message normally travels through several hosts, until it
  47. eventually reaches its destination. Hence, the whole network suffered
  48. from the increased load, irrespective of the fact that the items
  49. originated only from a comparably small percentage of its hosts.
  50.  
  51. > For many, probably for most, users, email is simply text.  A select
  52. > group are involved with the exchange of programs or other binary
  53. > files, [...]
  54.  
  55. Bitnet provides three independent transport services:
  56. 1. Mail (as implied by the paragraph partially quoted),
  57. 2. arbitrary files (*not* embedded in Mail items),
  58. 3. short, interactve messages.
  59.  
  60. > The CHRISTMA EXEC was a message that contained such a program.
  61.  
  62. No. CHRISTMA EXEC was a source file that contained comment lines.
  63.  
  64. > "Christmas card" messages with this system can be more than just the
  65. > usual "ASCII tree". [...]
  66.  
  67. Of course: programs can do anything conceivable (if technically
  68. feasable).
  69.  
  70. > The message header
  71. > contained a note that "Browsing this message is no fun at all.  Just
  72. > type Christmas .." [...]
  73.  
  74. Rather, a similar message was contained in a screen-sized comment
  75. block in the program which came after five (or so) screens of rather
  76. boring REXX statements of the sort "display so-and-so many asterisks,
  77. then so-and-so many blanks...". Of course it said "Reading dull
  78. programs like this one is no fun.." or something along this line.
  79.  
  80. > Typing either "Christmas" or "Christma" would generate the "card" [...]
  81.  
  82. You had to do a RECEIVE command first (or at least hit the equivalent
  83. PF9 key). This would generate a file named CHRISTMA EXEC on your disk.
  84. Then, "Christma" would be the normal command to interpret the REXX
  85. programm contained in that file; "Christmas" would work also, as CMS
  86. chops the command verb after 8 characters.
  87.  
  88. > However, at the same time that it was displaying the tree
  89. > on the screen, it was also searching for the NAMES and NETLOG files
  90. > associated with the user's account. [...]
  91.  
  92. These are CMS specific files. This is the main reason why CHRISTMA
  93. EXEC could only replicate in CMS systems, and not in other systems --
  94. even if they had a REXX interpreter, which at that time very few
  95. non-CMS systems had. (Personal REXX for MS-DOS appeared in 1985, REXX
  96. for TSO only in 1988.)
  97.  
  98. > This provided a list of other
  99. > users that either sent mail to or received mail from this account.
  100. > The important thing was that it was a list of valid email addresses.
  101. > The CHRISTMA EXEC would then mail copies of itself to all of these
  102. > accounts.
  103.  
  104. The NETLOG file is sort of a certificate of posting: it contains a
  105. list of files and mail items sent to, or received from, other users
  106. (including the network addresses involved). The NAMES file is sort of
  107. a personal directory: it contains only personal notes on people the
  108. user knows, mostly including their network addresses.
  109.  
  110. > The important point, technically, was that all of the accounts were
  111. > valid.
  112.  
  113. Well, most of them...
  114.  
  115. > As a side benefit, all of those accounts would be used to
  116. > receiving mail from the account that had just read it.  And they
  117. > would tell 40 friends, and they would tell ...
  118.  
  119. Hence, CHRISTMA EXEC could easily pass the Bitnet-VNet gateway.
  120.  
  121. May I add that it was a traumatic experience for many users to run the
  122. EXEC (not for me, as I usually read programs donated to me before I
  123. run them :-) At that time, most Bitnet nodes sent an interactive
  124. message back to the original sender whenever they had forwarded a
  125. file, or a mail item (as if every post employee who handles your
  126. letter would send you a telegram to acknowledge that fact). This
  127. resulted in one to about twenty lines (depending on the distance) on
  128. the senders screen for every addressee the file was sent to,
  129. interrupting normal work and filling the screen (which had then to be
  130. cleared to proceed).
  131.  
  132. > [...]
  133.  
  134. In short: CHRISTMA EXEC came as a program that had to be received and
  135. run by the user. The program would run only under the CMS operating
  136. system.  When run, the program would send exact copies of itself to
  137. other Bitnet users known by the user who had run the program.
  138.  
  139. I hope I am not perceived as being too picky in saying this. Thanks
  140. again to Robert Slade.
  141.  
  142. Best wishes,
  143.                     Otto Stolz <RZOTTO@DKNKURZ1.Bitnet>
  144.                                <RZOTTO@nyx.uni-konstanz.de>
  145.