home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.45 < prev    next >
Encoding:
Text File  |  1995-01-03  |  16.5 KB  |  341 lines
  1. VIRUS-L Digest              Monday, 13 Feb 1989         Volume 2 : Issue 45
  2.  
  3. Today's Topics:
  4. Valentine's Day VTxxx DECNET virus
  5. re: Alert against Possible VMS Virus/Trojan Horse
  6. RE: Valentine's day trojan horse (VIRUS-L V2.n43) (VMS)
  7. Re: Vt100 fun
  8. Media: a different aspect
  9.  
  10. ---------------------------------------------------------------------------
  11.  
  12. Date: Fri, 10 Feb 89 14:55:23 PST
  13. From:     PJS%naif.JPL.NASA.GOV@Hamlet.Bitnet
  14. Subject: Valentine's Day VTxxx DECNET virus
  15.  
  16. A warning about this rumored trojan horse was recently distributed
  17. here and below is the analysis which I sent back:
  18.  
  19. - - - - - - - - -
  20.  
  21. I have to wonder about the validity of this claim.  The "answerback"
  22. is a feature of VT100-compatible terminals that can be programmed in
  23. SETUP mode and sent by pressing CTRL-BREAK; it can also be triggered
  24. by the host with the control character ENQ (05).  The thesis of this
  25. claim appears to be that the answerback is reprogrammed with a control
  26. sequence, presumably to contain something of the form "^ZDEL
  27. *.*;*<CR>" and then an ENQ follows, which causes the terminal to send
  28. the answerback, which is interpreted as typed commands by the host, in
  29. this case to exit MAIL and delete files.
  30.  
  31. The problem with this is that I can find no way of setting the
  32. answerback with a control sequence.  The VT100 and VT240 programmer's
  33. guides, while notoriously poorly-indexed and arranged, are mum on this
  34. point.  The Pericom MG400 (VT100-compatible) manual is more explicit;
  35. it states that there is *no* way to program the answerback remotely.
  36. This makes sense, in that the answerback is intended to be a function
  37. of that specific terminal and there would be no reason to want the
  38. capability to change it from a remote location.
  39.  
  40. All control characters can be sent in mail messages, so it is possible
  41. to send the ENQ.  For that matter, you can send a ^S and freeze
  42. someone's terminal so they have to reset it to get it working again
  43. (of course, I have never done anything like that...).  However, I
  44. don't think there is any way to change the answerback message from the
  45. host and therefore I disbelieve this claim.
  46.  
  47. It *may* have happened at another site when some malicious user gained
  48. access to another person or persons' terminal(s) and reprogrammed
  49. their answerbacks to the string I described above *from the keyboard*
  50. (which does not require any account access), then sent the message out
  51. so that it would be read by users once they were logged in, when the
  52. answerback could affect their account just as if they had typed the
  53. commands themselves.
  54.  
  55. Peter Scott (pjs@grouch.jpl.nasa.gov)
  56.  
  57. ------------------------------
  58.  
  59. Date: Fri, 10 Feb 89 18:39 EST
  60. From: "Jerry Leichter (LEICHTER-JERRY@CS.YALE.EDU)" <LEICHTER@YaleVMS>
  61. Subject: re: Alert against Possible VMS Virus/Trojan Horse
  62.  
  63. I'm including more text than I normally do because of the nature of this
  64. message.
  65.  
  66.    [LT Stuart L Labovitz reports:] I am forwarding the following message,
  67.    in full, from the VALERT virus alert mailing list.  I do not know if
  68.    this is a valid message, or even if such a trojan could be
  69.    constructed, but definitely want to pass the warning along to all the
  70.    Info-Vaxers out there.  Please send copies of any comments on this
  71.    warning to the original author (address at the end of the message), as
  72.    to myself.  I will forward any comments I receive to the Virus-L
  73.    mailing list at Lehigh University (VIRUS-L@LEHIIBM1.BITNET, moderator
  74.    is Ken Van Wyk, LUKEN@LEHIIBM1.BITNET or LUKEN@SPOT.CC.LEHIGH.EDU).
  75.  
  76.    ================ORIGINAL MESSAGE FOLLOWS==============================
  77.  
  78.    The following was posted on our local bulletin board, so we're
  79.    definitely getting into third- and fourth-hand information here.  This
  80.    is really just a Trojan Horse rather than a virus, but I thought I'd
  81.    pass it along.
  82.  
  83.    ------------------------
  84.    Folks,
  85.    What I am about to relate was triggered by a second-hand rumor,
  86.    but it reflects a very valid security concern and is something that we
  87.    may wish to deal with immediately.
  88.  
  89.    The rumor is that a Valentine's Day message has been prepared
  90.    that has the potential for causing lots of personal (and operational)
  91.    havoc.  Any user who reads this message, on a VAX system, using a
  92.    standard DEC terminal, will have all of his files deleted.  This
  93.    little nastygram is rumored to also put a sweet message and heart on
  94.    the screen while doing its dirty work.  A nice touch.
  95.  
  96.    At the risk of being alarmist, I suggest that we immediately
  97.    inform our users to be suspicious of any messages of unknown origin.
  98.    Information is limited and we do not know if it will appear or how to
  99.    recognize it if it does. If I get more information I'll send it along.
  100.    -------------------------
  101.  
  102.    I have a few questions for anyone who knows VTxxx terminals:
  103.  
  104.    1)  Is it possible to do this on a VT1xx or VT2xx terminal?  I know it
  105.            is possible to cause the answerback message to be echoed, but
  106.            I don't know of a command to load the answerback message from
  107.            the host; it is possible to load a definition into a (shifted)
  108.            function key, but that requires the user to press the key;
  109.            I know of no command to echo the contents of the screen back
  110.            to the host as input.
  111.  
  112.    2)  If it is possible, is there a setup option that will immunize the
  113.            terminal from this particular disease?
  114.  
  115.    This sort of attack has been known for years, especially on
  116.    forms-oriented terminals, but I had believed that my terminal (a
  117.    VT220) was not subject to this particular vulnerability.
  118.  
  119.    Has anyone else heard about this?  Has anyone actually SEEN this
  120.    beast?  If you notice it ahead of time, it should be simple to
  121.    determine what it does and where it came from (unless it's
  122.    self-perpetuating like the XMAS EXEC -- but there's no easy list of
  123.    destinations on VAX/VMS).
  124.  
  125.             Gary Ansok
  126.                 <ANSOK@STSCI.BITNET>   or   <ANSOK@SCIVAX.STSCI.EDU>
  127.  
  128.    P.S.  The lack of a way for this thing to hide its origins from anyone
  129.            who is looking for it makes me wonder if it is real.  But I'll
  130.            be looking over my incoming mail extra carefully for a few
  131.            weeks anyway.  -- Gary
  132.  
  133.  
  134.    =============END OF ORIGINAL MESSAGE==================================
  135.  
  136. This "rumor" is a wonderful example of a kind of "denial of service"
  137. virus.  It infects the "wetware" of susceptible users.  Different
  138. forms of this rumor have been floating around for several days now;
  139. they've been passed around internally to DEC, for example.
  140.  
  141. There is NO truth behind this rumor.  What it describes is impossible,
  142. for several reasons:
  143.  
  144.    a)  The VMS MAIL program filters out escape and control sequences
  145.            when presenting mail to the user.  Even if there were a
  146.            sequence which could cause damage, it can never reach the
  147.            terminal as long as you use only READ to look at the message.
  148.  
  149.            It is theoretically possible, I suppose, that some non-ANSI-
  150.            compatible terminals may be triggered by some sequence of
  151.            characters that MAIL considers to be "just text", and so might
  152.            be vulnerable.  But I doubt it.
  153.  
  154.    b)  A message COULD suggest that you type EXTRACT TT:, which would
  155.            copy the message unfiltered to your terminal.  This trick
  156.            is often used to send, say, ReGIS pictures through the mail.
  157.            Obviously, this is a deliberate action - you have to be wil-
  158.            ling to do it.  Just on general principles, you should NOT do
  159.            this with a message from someone you don't know.
  160.  
  161.            A message could also tell you:  Type EXTRACT FOO.COM, CTRL/Z,
  162.            and @FOO.  If you go ahead and do that,  you will create and
  163.            execute a command file which could do anything at all.
  164.  
  165.            Then again, the message COULD tell you "Shoot yourself in the
  166.            head".
  167.  
  168.    c)  No mainline DEC terminal allows you to set the answerback message
  169.            from the host; it can be changed only in SETUP.  (And, no, you
  170.            can't put the terminal into SETUP from the host.)  I know the
  171.            people who designed every DEC terminal since the VT100, and
  172.            worked on some of the designs, so I'm 100% certain of this.
  173.            I include the "mainline" qualifier only because there are so
  174.            many variations, mainly in international markets, which I know
  175.            nothing about that I can't make an absolute statement.  But I
  176.            would be very surprised if you could do this on ANY DEC ter-
  177.            minal.
  178.  
  179.    d)  UDK's (User Defined Keys) are a slightly different story.  You can
  180.            load them from the host but:
  181.  
  182.            1.  It is impossible for the host to force the terminal to
  183.                    send the contents of a UDK - you must deliberately
  184.                    type SHIFT with a function key to get the value sent.
  185.  
  186.            2.  When you load UDK's, you may ask the terminal to "lock"
  187.                    them.  Once the UDK's are locked, any further attempts
  188.                    load them are ignored.  Nothing the host sends can
  189.                    unlock the UDK's - it can be done only from SETUP or
  190.                    by power-cycling the terminal.
  191.  
  192.            If you don't use UDK's, (1) should protect you.  If you DO use
  193.            UDK's, (2) can protect you (though you have to make sure you
  194.            lock the definitions).
  195.  
  196.            Again, I can speak only of "mainline" DEC terminals.  One com-
  197.            mon request is for the ability to have the UNSHIFTED function
  198.            keys send the UDK sequences.  This has never been done in a
  199.            mainline DEC terminal; one reason is that it could make a user
  200.            who doesn't normally use UDK's, but DOES use the function
  201.            keys, vulnerable.  Of course, if the choice of operational
  202.            mode could be made only in SETUP, you'd still be safe.
  203.  
  204.    e)  Several DEC terminals support block mode.  I believe the VT131
  205.            and VT132 and the VT330 and VT340 are the only "mainline"
  206.            terminals that do so.  It MAY be possible to force such a
  207.            terminal to send back data from the screen, in which case an
  208.            attack of the nature being discussed here is possible.  I'm
  209.            not absolutely certain, and the situation may be different
  210.            on the different models.  What it comes down to is this:
  211.            There is no defined sequence which tells the terminal to
  212.            send data from the screen to the host; rather, such action is,
  213.            in the documented cases, always initiated by the user typing
  214.            something, usually ENTER.  However, it is possible to operate
  215.            these terminals in a mode in which ENTER sends a "data ready
  216.            for you" message, and the host then replies with "OK, send
  217.            it".  What isn't clear is what happens, in all circumstances,
  218.            if the host sends "OK, send it" when the terminal hasn't indi-
  219.            cated it has data.  Probably nothing, but I can't guarantee
  220.            that.
  221.  
  222.            In any case, on the VT330 and VT340, there is a SETUP option
  223.            which disables block mode, so this becomes a non-issue.
  224.  
  225.    f)  ReGIS supports ways for the host to do some pretty complex things
  226.            on the terminal, and get reports back.  It MAY be possible to
  227.            use ReGIS for this kind of attack.  I've never seen a defini-
  228.            tive analysis either way.
  229.  
  230.    g)  The VT220 (and VT320) support neither block mode nor ReGIS, and
  231.            as far as I know are not vulnerable to this kind of attack.
  232.            (The same goes for most VT100-generation terminals.  Some of
  233.            them had firmware bugs which allowed "letter bombs" to disrupt
  234.            the terminal, but none of those do anything permanent, or harm
  235.            the connected system.)
  236.  
  237.    h)  The above applies ONLY to DEC terminals.  If you have a "DEC-com-
  238.            patible", you have to read its documentation very, very care-
  239.            fully to determine if you are safe.  Some compatibles try to
  240.            "improve" on the original terminals by adding such "over-
  241.            looked" features as escape sequences that let you program the
  242.            answerback message from the host, or read arbitrary stuff from
  243.            the screen.  Such "improvements" could leave you wide open.
  244.  
  245.            I have no particular compatibles in mind here - there may not
  246.            actually BE any which have made this kind of change.  But to
  247.            be safe, you have to be wary.  I'd be ESPECIALLY wary of ter-
  248.            minal emulation programs running on PC's - they often have the
  249.            opportunity to provide all sorts of nifty, but dangerous,
  250.            features which the hardware manufacturers find too expensive
  251.            to include.
  252.                                                         -- Jerry
  253.  
  254. ------------------------------
  255.  
  256. Date:         Fri, 10 Feb 89 19:48:00 EST
  257. From:         "Hamid A. Wasti" <ST402288@BROWNVM.BITNET>
  258. Subject:      RE: Valentine's day trojan horse (VIRUS-L V2.n43) (VMS)
  259.  
  260. > Is it possible to do this on a VT1xx or VT2xx terminal?  I know it is
  261. > possible to cause the answerback message to be echoed, but I don't
  262. > know of a command to load the answerback message from the host; ....
  263.  
  264. If I recall correctly, there was a discussion about this on the RISKS
  265. FORUM a while back (most probably a year or 2 ago).  If my memory
  266. serves me correctly, I believe someone claimed that most dumb
  267. terminals (not just the VTxxx's) could be made to echo a given message
  268. back to the host through undocumented features/bugs.  Perhaps someone
  269. who recalls the discussion better or who has easy access to RISKS
  270. archives could give us more details.
  271.  
  272.      -----Hamid A. Wasti
  273.           <ST402288@BROWNVM.BITNET>
  274.  
  275. P.S.  How does one distinguish between an undocumented feature and a
  276. bug ?
  277.  
  278. ------------------------------
  279.  
  280. Date:         Fri, 10 Feb 89 22:18:54 EST
  281. From:         Dan Bornstein <DANFUZZ@BROWNVM.BITNET>
  282. Subject:      Re: Vt100 fun
  283.  
  284. Someone was wondering about the ability to have the VT100 series send
  285. info from the screen. Yes, it is indeed possible: In order to type a
  286. given character/ string, one positions the cursor on the (previously)
  287. printed whateverness, and uses either the send-character or send-line
  288. escape sequence. I know this back in my youth (high school), I played
  289. around with the school's Tandy 6000 (I take what I can get), a Xenix
  290. machine. I used the above trick to issue "cds" that would have lasting
  291. effects (after a Xenix script ends, the current directory is reverted)
  292. from scripts (to be executed as commands). Admittedly there are better
  293. ways, but I didn't know them.  So much for nostalgia.
  294.  
  295. - -dan
  296.  
  297. ------------------------------
  298.  
  299. Date:         Sat, 11 Feb 89 17:38:39 EST
  300. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
  301. Subject:      Media: a different aspect
  302.  
  303. I was just paging through "Business Today", a magazine mailed to
  304. college students around the country, and stumbled upon the following
  305. ad:
  306.  
  307. Under a picture of a 3M data cartridge it read: "Until There's a Cure
  308. For Computer Viruses, Take One Of These And Get Back To Work."  Under
  309. that, in smaller type, read: "Today, with the spread of computer
  310. viruses and data parasites threatening the health of American
  311. business, you have to protect yourself.  If you network, be sure to
  312. back up your work routinely on 3M data cartridge tape before a virus
  313. enters your systems."  Then it lists an '800' number to call for info.
  314.  
  315. First, I hope noone thinks I am trying to use Bitnet for commercial
  316. use -- I'm not.  I have no affiliation with 3M.
  317.  
  318. I am all for encouraging users to institute systematic, periodic
  319. backup procedures.  However, ads like this compound the user confusion
  320. we have (to some extent) been blaming on the media -- that if you
  321. perform regular backups you are safe.
  322.  
  323. It is unfortunate that our counterparts in industry are not assisting
  324. in rectifying the (perhaps unsolvable, yet certainly *not*
  325. unimprovable) problem.
  326.  
  327. - - Neil
  328.  
  329. - ------------------------------------------------------------------------
  330. Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET
  331.  
  332. Replies, Concerns, Disagreements, and Flames expected.
  333. Mastercard, Visa, and American Express not accepted.
  334. Acknowledge-To: <NG44SPEL@MIAMIU>
  335.  
  336. ------------------------------
  337.  
  338. End of VIRUS-L Digest
  339. *********************
  340.  
  341. Downloaded From P-80 International Information Systems 304-744-2253
  342.