home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.228 < prev    next >
Encoding:
Text File  |  1995-01-03  |  13.7 KB  |  323 lines
  1.  
  2. VIRUS-L Digest   Tuesday, 31 Oct 1989    Volume 2 : Issue 228
  3.  
  4. VIRUS-L is a moderated, digested mail forum for discussing computer
  5. virus issues; comp.virus is a non-digested Usenet counterpart.
  6. Discussions are not limited to any one hardware/software platform -
  7. diversity is welcomed.  Contributions should be relevant, concise,
  8. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
  9. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
  10. anti-virus, document, and back-issue archives is distributed
  11. periodically on the list.  Administrative mail (comments, suggestions,
  12. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
  13.  - Ken van Wyk
  14.  
  15. Today's Topics:
  16.  
  17. Fri 13 virus in Taiwan
  18. Checksum programs
  19. New Variant of WANK Worm (VAX/DECnet)
  20.  
  21. [Ed. This VIRUS-L issue is going out early to get the WANK notice out
  22. in a reasonably timely manner.]
  23.  
  24. ---------------------------------------------------------------------------
  25.  
  26. Date:    Tue, 31 Oct 89 08:02:54 -0500
  27. From:    Elliott Parker <3ZLUFUR%CMUVM.BITNET@VMA.CC.CMU.EDU>
  28. Subject: Fri 13 virus in Taiwan
  29.  
  30.      The following is from "The Free China Journal" (19 Oct 89):
  31.  
  32.      Head:  Phantom Virus Unseen In ROC
  33.  
  34.      The "Friday the 13th" computer virus that was supposed to wipe
  35.      out the world's IBM-compatible computer systems failed to
  36.      materialize in Taiwan.
  37.  
  38.           Mitac, Inc., one of Taiwan's leading computer companies
  39.      reportedly discovered some of its personal computers were infected
  40.      by the virus, but a spokesman said the virus not the one called
  41.      "Friday the 13th."
  42.  
  43.           No attack was reported in other computer companies, including
  44.      Acer Inc., Eten Technology, Kuo Chiao, HP or Digital.  Computer
  45.      systems in local banks and securities firms worked well on Oct. 13.
  46.  
  47.           The post office in Taipei was thrown into panic when it was
  48.      discovered none of its computers worked.  But it was determined the
  49.      breakdown was caused by the motor of a disk drive.
  50.  
  51. - ------------------------------------------------------------------------
  52. Elliott Parker                   BITNET: 3ZLUFUR@CMUVM
  53. Journalism Dept.                 Internet: eparker@well.sf.ca.us
  54. Central Michigan University      Compuserve: 70701,520
  55. Mt. Pleasant, MI 48859           BIX: eparker
  56. USA                              UUCP: {psuvax1}!cmuvm.bitnet!3zlufur
  57.  
  58. ------------------------------
  59.  
  60. Date:    Tue, 31 Oct 89 14:47:32 +0200
  61. From:    Y. Radai <RADAI1%HBUNOS.BITNET@VMA.CC.CMU.EDU>
  62. Subject: Checksum programs
  63.  
  64.   Bob McCabe writes:
  65. >  While working out the algorithm for this check it struck me
  66. >that it should be possible to work out a scheme by which any
  67. >program could check itself at load time for infection.  ....
  68. >Presently, I am working on a system of prime number coding in
  69. >which the CRC check of the EXE file is compared with a encoded
  70. >CRC. The coding of the CRC would be done with a large prime
  71. >number, chosen at random from a table.
  72.  
  73.   Fine, just be aware that dozens of people have done it before you.
  74. (There must be at least 30 such programs for the PC alone.)  But I
  75. don't mean to discourage you; some such programs are much better than
  76. others.  And if you can think of a better way of doing it, more power
  77. to you.
  78.   In my opinion, the most important requirements on a checksum program
  79. are:
  80. (1) For any given file it must yield a different checksum on each com-
  81.     puter.
  82. (2) Even if the checksum algorithm and checksum length are known,
  83.     without knowledge of the key (the generating polynomial in the
  84.     case of a CRC algorithm), it should be impossible to modify a file
  85.     in such a way that the checksum remains unchanged.
  86. (3) It must be able to checksum the boot sector and partition record
  87.     (in PC terminology) in addition to arbitrary files.
  88. (4) It should check file sizes as well as checksums.
  89. (5) It must be convenient to specify and update the list of files to
  90.     be checksummed.
  91. (6) A naively written checksum program (and most of them are, unfortu-
  92.     nately, of this type) will contain loopholes which a clever virus
  93.     creator can exploit to introduce a virus despite the checksumming.
  94.     The author of the checksum program must therefore try to think of
  95.     every such loophole and plug it.
  96. (7) It must be reasonably fast.
  97.  
  98.   While almost every author concerns himself with (7), there are lots
  99. of programs (e.g. FSP) which do not satisfy most (or even any) of the
  100. other requirements.
  101.  
  102.   Btw, I'm curious to know what importance you attach to making the
  103. number prime.
  104.  
  105.   John Sangster comments on Bob's posting as follows:
  106. >                                         it is fairly well known that
  107. >since the CRC process is linear over the binary field (commonly called
  108. >"GF(2)" by algebraists), it is little more than a high school algebra
  109. >exercise to make your desired changes to the program, then make a few
  110. >more bits' worth of additional changes (determined by simple linear
  111. >algebra over GF(2)) which restore the CRC bits to their former value so
  112. >that they will still perfectly match the bits recovered from the
  113. >encrypted CRC -- thus defeating the protection scheme.
  114.  
  115.   This is a common opinion, but is incorrect in the current context.
  116. You can restore the CRC to its former value *only if you know the ge-
  117. nerating polynomial*.  But condition (1) above, when implemented with
  118. a CRC algorithm, is usually fulfilled by either selecting the genera-
  119. tor randomly when the checksum base is initially set up, or by letting
  120. the user select it personally.  In this situation, the above tech-
  121. nique is useless.
  122.  
  123.   In the majority of cases, this technique would not work even if the
  124. generator were known, since the viral code will increase the size of
  125. the file (unless the virus is restricted to infecting particular files
  126. having unused space, as in the case of the Lehigh virus).  Since a
  127. checksum program should also compare the *sizes* of the files (re-
  128. quirement (4) above), the change would be detected.
  129.  
  130.                                      Y. Radai
  131.                                      Hebrew Univ. of Jerusalem, Israel
  132.                                      RADAI1@HBUNOS.BITNET
  133.  
  134. ------------------------------
  135.  
  136. Date:    Tue, 31 Oct 89 08:56:00 -0500
  137. From:    TENCATI@NSSDCA.GSFC.NASA.GOV (SPAN SECURITY MGR. (301)286-5223)
  138. Subject: New Variant of WANK Worm (VAX/DECnet)
  139.  
  140. ============================================================================
  141. INTER-NETWORK MEMORANDUM                               SPAN MANAGEMENT OFFICE
  142. =============================================================================
  143.                                                                   30-OCT-1989
  144.  
  145. TO:     ALL SPAN SYSTEM MANAGERS
  146.  
  147. FROM:    SPAN MANAGEMENT OFFICE
  148.     GODDARD SPACE FLIGHT CENTER  CODE 630.2
  149.     GREENBELT, MD. 20771
  150.     (301)286-7251
  151.  
  152. SUBJ:   SECURITY GUIDELINES TO BE FOLLOWED IN LATEST WORM ATTACK
  153.  
  154.                             ----------
  155.  
  156. A variant of the 16-Oct worm has been restarted on the DECnet internet.
  157. This worm is a slightly modified copy of the original worm that infected
  158. the networks last week.  The method of attack is identical to the last
  159. except that this version calls itself OILZ_nnnn instead of NETW_nnnn.
  160.  
  161. This variant of the worm changes the password of the account it
  162. penetrates unlike its predecessor which only changed passwords if it
  163. penetrated a privileged account.
  164.  
  165. The effect of this modification is that if the DECNET account is breached
  166. (Userid DECNET, Password DECNET), changing of the password will disable
  167. further *INBOUND* network connections to the node, effectively removing it
  168. from the network.  THIS IS THE PRIMARY WAY IN WHICH THE CURRENT WORM IS
  169. ACHIEVING SUCCESS.
  170.  
  171. The previous precautions and guidelines issued by this office are still
  172. applicable and valid.  The following 5 procedures should be implemented on
  173. all DECnet nodes to ensure that the worm cannot gain access to your node.
  174.  
  175.                             ----------
  176.  
  177. 1) The current worm has been modified to attack the default DECNET account
  178.    first. It attempts to enter the default DECNET account with user=DECNET
  179.    and password=DECNET.  This is the default set up.  IT MUST BE CHANGED.
  180.    To change it, two things have to be done:
  181.  
  182.     $MCR AUTHORIZE
  183.     UAF> mod DECNET /pass=<something>     !anything BUT "DECNET"
  184.     UAF> mod DECNET /flag=lockpwd/nobatch/prclm=0
  185.     UAF> exit
  186.  
  187.    Then, to match default access control information in the executor (so
  188.    MAIL and NML will still work):
  189.  
  190.     $MCR NCP
  191.     NCP> set executor nonpriv pass <something> !NOTE this MUST match what
  192.                             you set in AUTHORIZE!
  193.  
  194.    The above changes will not effect operation of your system, but will
  195.    prevent the worm from entering via your default DECNET account.
  196.  
  197. 2)  DISABLE THE TASK OBJECT
  198.  
  199.     The TASK Object MUST be removed from your DECnet database.
  200.     There are two methods by which you can accomplish this:
  201.  
  202.     1. In SYSTARTUP.COM/SYSTARTUP_V5.COM, after the call to
  203.        @SYS$MANAGER:STARTNET, insert the following line:
  204.  
  205.         $ MCR NCP CLEAR OBJECT TASK ALL
  206.  
  207.            THIS COMMAND MUST BE EXECUTED *EACH TIME* THE NETWORK
  208.        IS STARTED OR RESTARTED.  DOING IT AT BOOT-TIME ALONE
  209.            IS NOT SUFFICIENT.
  210.  
  211.     2. Instead of option 1, the following commands can be issued
  212.        ONCE from a privileged account to permanently change the
  213.        information in the DECnet database for the TASK object:
  214.  
  215.        $ MCR NCP SET OBJECT TASK PASSWORD <type an INCORRECT password>
  216.        $ MCR NCP DEF OBJECT TASK PASSWORD <type an INCORRECT password>
  217.  
  218.  
  219.       If for some reason you MUST have a TASK object, please call the
  220.       SPAN network office at (301)286-7251.
  221.  
  222.  
  223. 3a) Protect SYS$SYSTEM:RIGHTSLIST.DAT so that it is has no protection bits
  224.    set for the WORLD category of users. This is how the attacking worm
  225.    determines who your valid users are.  There is some discussion about
  226.    this approach, it apparently works on 4.7 thru 5.1-1 systems, reports
  227.    from systems testing this approach say it breaks under V5.2.  So there
  228.    are 2 other approaches, set an ACL on RIGHTSLIST.DAT disabling NETWORK
  229.    access, or using a logical name to point to RIGHTSLIST.
  230.  
  231.                               **NOTE**
  232.    THE ACL APPROACH MAY REQUIRE A REBOOT TO PURGE THE OLD RIGHTSLIST.DAT
  233.    ON V4.7 SYSTEMS.
  234.  
  235.  b) Place an ACL on RIGHTSLIST.DAT to prevent network access of your user names
  236. .
  237.    For V5.X:
  238.  
  239.    SET ACL SYS$SYSTEM:RIGHTSLIST.DAT /ACL=(IDENTIFIER=NETWORK,ACCESS=NONE)
  240.  
  241.    Version 4.X systems have a more difficult time of it since the file
  242.    locked by other images.  The suggested way of protecting it is from
  243.    the SYSTEM account to:
  244.  
  245.       SET DEFAULT SYS$SYSTEM:
  246.       COPY RIGHTSLIST.DAT *.TEMP
  247.       SET ACL RIGHTSLIST.TEMP /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
  248.       RENAME RIGHTSLIST.TEMP *.DAT
  249.  
  250.    On completion, make sure that the protection is correct (W:R).
  251.  
  252.    You should purge the file as soon as possible.  However, you may
  253.    not be able to purge until the system has either been rebooted or
  254.    OPCOM  has been stopped and restarted.
  255.  
  256.  c) The logical name approach relies on "hiding" RIGHTSLIST.DAT and defining
  257.    a system wide logical name that points to it.  Network access does not
  258.    translate this logical name.
  259.  
  260.    $RENAME SYS$SYSTEM:RIGHTSLIST.DAT any_old_file_you_want.dat
  261.  
  262.    $DEFINE/SYSTEM/EXEC    RIGHTSLIST any_old_file_you_want.dat
  263.  
  264.          As long as the logical symbol RIGHTSLIST points to the *real*
  265.      file, it doesn't matter what you name it, or where it is.
  266.      The worm EXPECTS it to be in SYS$SYSTEM:RIGHTSLIST.DAT.
  267.  
  268. 4) If possible, verify that none of your users are using their username for
  269.    their password.  Chances are that if they were, you'd have a worm
  270.    running on your node right now though. The SPAN office has a toolkit
  271.    available which contains a program that can be used for this purpose.
  272.    Contact NCF::NETMGR for details.
  273.  
  274. 5) Place an ACL on the default BATCH QUEUE of Version 5.x systems.
  275.  
  276.    SET ACL SYS$BATCH/OBJECT=QUEUE  /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
  277.  
  278.    ACLS  are not supported on batch queues in Version 4.  It is
  279.    suggested remote Batch be disable by inserting the following command as
  280.    the first command in SYS$SYSTEM:NETSERVER.COM:, after the label LOOP:
  281.  
  282.       $ DEFINE SYS$BATCH NO_SUCH_QUEUE
  283.  
  284.    This will prevent the command from ever getting the correct queue.
  285.  
  286.                             ----------
  287. DEC also recommends that certain SYSGEN parameters be modified in
  288. order to thwart an attack technique the worm utilizes. The SPAN
  289. management supports these suggested modifications:
  290.  
  291.     $MCR SYSGEN
  292.     USE CURRENT
  293.     SET LGI_BRK_TERM 0
  294.     SET LGI_BRK_TMO 3600
  295.     SET LGI_HID_TIM 86400
  296.     WRITE ACTIVE
  297.     WRITE CURRENT
  298.     EXIT
  299.     $
  300.  
  301. If you have been attacked by this worm, please send the node name/number
  302. that the attack came from and if possible, the username of the attacker.
  303.  
  304. Send this information your local Routing Center Manager and to NCF::NETMGR
  305. on SPAN, 6277::NETMGR on HEPnet/Other nodes on the DECnet Internet.
  306.  
  307. The SPAN Management office also has a new version of ANTI_WANK.COM which can
  308. be started in a node's batch queue to search-out and report/destroy worms
  309. which may be running on a node.  For copies of this procedure, send mail to
  310. NCF::NETMGR.
  311.  
  312. REMINDER -  The NSI Networking Users Group (Formerly SPAN Data System Users
  313.          Working Group - DSUWG) is meeting at Goddard Space Flight Center
  314.         on NOV 13-15.  All members of the SPAN community are invited
  315.         to attend.  For information, contact Valerie Thomas, SPAN
  316.         Project Manager at (301) 286-4740, or send mail to NCF::THOMAS.
  317.  
  318. ------------------------------
  319.  
  320. End of VIRUS-L Digest
  321. *********************
  322. Downloaded From P-80 International Information Systems 304-744-2253
  323.