home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.47 < prev    next >
Encoding:
Text File  |  1995-01-03  |  8.9 KB  |  197 lines
  1. VIRUS-L Digest             Tuesday, 14 Feb 1989         Volume 2 : Issue 47
  2.  
  3. Today's Topics:
  4. Valetine's Day trojan horse (VAX/VMS)
  5. Re: Valentine's Day VTxxx trojan horse mail message (VAX/VMS)
  6. VIRUS-L LISTSERV files now available via anonymous FTP
  7.  
  8. ---------------------------------------------------------------------------
  9.  
  10. Date:     Tue, 14 Feb 89 11:21 EST
  11. From:     Cincinnati Bengals. <KUMMER@XAVIER.BITNET>
  12. Subject:  Valetine's Day trojan horse (VAX/VMS)
  13.  
  14.      This rumor is an obvious attempt to capatilize on the virus
  15. hysteria and cause people to be afraid to do anything on the computer.
  16. I'd be willing to bet money that it's impossible that when a mail
  17. message is read, the message causes files to be deleted.  Either the
  18. rumor was improperly relayed, or someone is trying to cause fear in
  19. VAX/VMS users all over by spreading an absolutely absurd rumor.
  20.  
  21. Tom Kummer
  22.  
  23. ------------------------------
  24.  
  25. Date: Tue, 14 Feb 89 13:10:16 est
  26. From: Stuart Labovitz <labovitz%etd2.dnet@wpafb-avlab.arpa>
  27. Subject: Re: Valentine's Day VTxxx trojan horse mail message (VAX/VMS)
  28.  
  29. In order to get some "expert" opinions on this virus/trojan alert, I
  30. forwarded a copy of the VALERT message to the Info-VAX mailing list
  31. (Info-VAX@KL.SRI.COM).  Jerry Leichter has responded directly to
  32. VIRUS-L, but appended below is another response (refering to Jerry's
  33. message) from Stephen Dowdy.  I will forward any other relevant
  34. responses on to VIRUS-L, as well.
  35.  
  36.                                 LT Stuart L Labovitz
  37.                                 USAF Electronic Technology Laboratory
  38.                         arpa:   Labovitz%Etd2.decnet@Wpafb-avlab.arpa
  39.  
  40.                            I bark, therefore I am.
  41.                                           --Descarte's dog
  42.  
  43. = = = = = = = = = = message from Stephen Dowdy follows = = = = = = = = = = =
  44.  
  45. LEICHTER@VENUS.YCC.YALE.EDU ("Jerry Leichter ") writes:
  46.  
  47. ]    The rumor is that a Valentine's Day message has been prepared
  48. ]    that has the potential for causing lots of personal (and operational)
  49. ]    havoc.  Any user who reads this message, on a VAX system, using a
  50. ]    standard DEC terminal, will have all of his files deleted.  This
  51. ]    little nastygram is rumored to also put a sweet message and heart on
  52. ]    the screen while doing its dirty work.  A nice touch.
  53. ]
  54. ]This "rumor" is a wonderful example of a kind of "denial of service"
  55. ]virus.  It infects the "wetware" of susceptible users.  Different
  56. ]forms of this rumor have been floating around for several days now;
  57. ]they've been passed around internally to DEC, for example.
  58. ]
  59. ]There is NO truth behind this rumor.  What it describes is
  60. ]impossible, ...
  61.  
  62. (there is a lot of truth to the concept.  DO NOT BLOW THIS OFF AS
  63. IMPOSSIBLE)
  64.  
  65. ]  a)  The VMS MAIL program filters out escape and control sequences
  66. ]       when presenting mail to the user.  Even if there were a
  67. ]       sequence which could cause damage, it can never reach the
  68. ]       terminal as long as you use only READ to look at the message.
  69.  
  70. VMS Mail did not always filter out control characters.  I remember
  71. reading (in 3.7 i believe) a mail file of the famous Champagne Glass
  72. Line drawing set animation.
  73.  
  74. ]  b)  A message COULD suggest that you type EXTRACT TT:, which would
  75. ]       copy the message unfiltered to your terminal.  This trick
  76. ]       is often used to send, say, ReGIS pictures through the mail.
  77. ]       Obviously, this is a deliberate action - you have to be wil-
  78. ]       ling to do it.  Just on general principles, you should NOT do
  79. ]       this with a message from someone you don't know.
  80. ]
  81. ]       A message could also tell you:  Type EXTRACT FOO.COM, CTRL/Z,
  82. ]       and @FOO.  If you go ahead and do that,  you will create and
  83. ]       execute a command file which could do anything at all.
  84. ]
  85. ]       Then again, the message COULD tell you "Shoot yourself in the
  86. ]       head".
  87.  
  88. Then again, the people who are hit by this form of trojan horse are not
  89. generally computer literate.  If the message does say
  90.         EXTRACT/NOHEAD FOO.COM
  91. the user *WILL* do it.
  92.  
  93. ]   d)  UDK's (User Defined Keys) are a slightly different story.  You can
  94. ]       load them from the host but:
  95. ]
  96. ]       1.  It is impossible for the host to force the terminal to
  97. ]               send the contents of a UDK - you must deliberately
  98. ]               type SHIFT with a function key to get the value sent.
  99. ]
  100. ]       2.  When you load UDK's, you may ask the terminal to "lock"
  101. ]               them.  Once the UDK's are locked, any further attempts
  102. ]               load them are ignored.  Nothing the host sends can
  103. ]               unlock the UDK's - it can be done only from SETUP or
  104. ]               by power-cycling the terminal.
  105. ]
  106. ]       If you don't use UDK's, (1) should protect you.  If you DO use
  107. ]       UDK's, (2) can protect you (though you have to make sure you
  108. ]       lock the definitions).
  109.  
  110. Ah, but again, the kind of user who falls for this type of trojan
  111. horse is not literate enough to know these things.  It doesn't matter
  112. how many ways there are to divert mal-intented individuals, the common
  113. user is not going to use them. (and *someone* will have to restore
  114. their files, or the OS if the person has privs)
  115.  
  116. ]       In any case, on the VT330 and VT340, there is a SETUP option
  117. ]       which disables block mode, so this becomes a non-issue.
  118.  
  119. (once again... Joe User may not even know how to use SETUP.)
  120.  
  121. ]       I have no particular compatibles in mind here - there may not
  122. ]       actually BE any which have made this kind of change.  But to
  123. ]       be safe, you have to be wary.  I'd be ESPECIALLY wary of ter-
  124. ]       minal emulation programs running on PC's - they often have the
  125. ]       opportunity to provide all sorts of nifty, but dangerous,
  126. ]       features which the hardware manufacturers find too expensive
  127. ]       to include.
  128. ]                                                       -- Jerry
  129.  
  130. Back in the days of 4.2 BSD Unix, when the ttys weren't protected by
  131. group ownership 'ttys', i wrote a program exploiting a "feature" of
  132. the Televideo 912/910 that allowed one to write to a user's terminal
  133. (in BSD, if they had MESG Y), and have the terminal send that command
  134. back.  Needless to say, any person with mesg y, and root on a tvi was
  135. asking the system to go down.  (i never use any of these things for
  136. malicious purposes, just to get the point across to people that there
  137. are *MANY* non-obvious ways to break security).
  138.  
  139. Though, i agree that this reported trojan horse is probably not real,
  140. in it's reported form, it is *VERY* real as a general security issue.
  141. If i download your keys with a string, and you press that key, you're
  142. are in trouble.  And no amount of convincing is going to make
  143. non-knowledgable users do what they should (lock keys, reset the
  144. terminal before logging in...; heck, i don't even do these things,
  145. since it is such a pain)
  146.  
  147. Take a word of caution from the message.  It is possible to do these
  148. things.  (and though i would really like to make my process name in
  149. double wide characters for show users, i understand DECs approach to
  150. dropping out control characters, it is probably the correct approach
  151. in dealing with overly-"smart" terminals)
  152.  
  153. - --stephen
  154. - --
  155. $!#######################################################################
  156. $! stephen dowdy (UNM CIRT) Albuquerque, New Mexico, 87131 (505) 277-8044
  157. $! Usenet:   {convex,ucbvax,gatech,csu-cs,anl-mcs}!unmvax!charon!sdowdy
  158. $! BITNET:   sdowdy@unmb
  159. $! Internet: sdowdy@charon.UNM.EDU
  160. $!      Team SPAM in '87!            SPAAAAAAAAAAAAAAAAAAAAMMMMMMM!
  161. $!#######################################################################
  162.  
  163. = = = = = = = = = = message from Stephen Dowdy ends = = = = = = = = = = = =
  164.  
  165. ------------------------------
  166.  
  167. Date: Tue, 14 Feb 89 14:06:35 est
  168. From: ubu!luken@lehi3b15.csee.lehigh.edu
  169. Subject: VIRUS-L LISTSERV files now available via anonymous FTP
  170.  
  171. Internet (including ARPAnet, MILNET, NSFNET, etc.) users can now
  172. access the VIRUS-L archives and backlogs via anonymous FTP to
  173. IBM1.CC.LEHIGH.EDU.
  174.  
  175. Once logged in, issue a CD (or CWD) command to connect to either
  176. VIRUS-L (for the log files) or VIRUS-P (for the archive programs).
  177. At that point, the standard GET command will retrieve files, and the
  178. DIR command will list available files.
  179.  
  180. The anonymous FTP is very new on our VM/CMS machine, so please report
  181. any problems to me.  We currently know of some quirks when FTPing from
  182. Sun workstations - it takes several commands before anything happens.
  183. It has successfully been tested from other machines, however,
  184. including VAX/VMS (CMU TCP/IP) and Zenith PCs (NCSA TCP/IP).
  185.  
  186. I hope that this adds to the functionality of the forum somewhat, even
  187. though loading files onto the LISTSERV filelist is still as difficult
  188. as ever...
  189.  
  190. Ken van Wyk
  191.  
  192. ------------------------------
  193.  
  194. End of VIRUS-L Digest
  195. *********************
  196.  
  197. Downloaded From P-80 International Information Systems 304-744-2253
  198.