home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / SPAN01.TXT < prev    next >
Text File  |  1994-07-17  |  18KB  |  419 lines
  1. =============================================================================
  2. INTRANETWORK MEMORANDUM                               SPAN MANAGEMENT OFFICE
  3. =============================================================================
  4.                                                                   19-OCT-1989
  5.  
  6. TO:     ALL SPAN ROUTING CENTER MANAGERS AND REMOTE-NODE MANAGERS
  7.  
  8. FROM:    RON TENCATI - SPAN SECURITY MANAGER
  9.     GODDARD SPACE FLIGHT CENTER  CODE 630.2
  10.     GREENBELT, MD. 20771
  11.     (301)286-5223
  12.  
  13. SUBJ:   INFORMATION REGARDING THE DECNET WORM AND PROTECTION MEASURES
  14.  
  15.                             ----------
  16. The following information covers several aspects of the "WANK" DECnet worm
  17. which was released into the "DECnet Internet" earlier in the week.
  18.  
  19. Information contained in prior reports written by John McMahon of GSFC and
  20. Kevin Oberman of LLNL was used in preparing report.  The assistance of
  21. Digital Equipment Corporation is also gratefully acknowledged. 
  22.  
  23. Previous messages regarding this worm appearing on various mailing lists 
  24. have indicated that system managers with questions or infected nodes should 
  25. call other organizations.  
  26.  
  27. For clarification, any SPAN-connected system that believes itself to be
  28. infected, or attacked should contact ONLY the SPAN management at Goddard
  29. Space Flight Center, Greenbelt, MD.  The security effort is being
  30. coordinated by this group and all reports should be directed there.  The
  31. contact number is (301)286-7251 or (301)286-5223.  Electronic mail should be 
  32. sent to NSSDCA::TENCATI or NSSDCA::NETMGR only.  Do not send infection 
  33. reports to any other node on SPAN.
  34.  
  35. HEPnet sites should contact FNAL::DEMAR.
  36.  
  37.  
  38. BACKGROUND
  39. ----------
  40.  
  41. The worm's mission is to propagate itself randomly across the network, 
  42. to seek out systems with poor security, and to establish itself in a 
  43. priviliged account whereupon it will modify the system's SYS$ANNOUNCE
  44. banner to the following message:
  45.  
  46.  
  47.   
  48.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  49.     _______________________________________________________________
  50.     \__  ____________  _____    ________    ____  ____   __  _____/
  51.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  52.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  53.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  54.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  55.          \___________________________________________________/
  56.           \                                                 /
  57.            \    Your System Has Been Officically WANKed    /
  58.             \_____________________________________________/
  59.  
  60.      You talk of times of peace for all, and then prepare for war.
  61.  
  62.                             ---------
  63. We don't currently see that the WORM is destructive, BUT it wastes
  64. resources, and may result in denial of service by locking out priviliged 
  65. users or causing non-infected nodes to consume disk space storing all the
  66. audit records from the failed access attempts.
  67.  
  68. The worm attempts to establish itself onto a system by exploiting various
  69. weaknesses in the DECnet environment.  Some of these weaknesses have been
  70. addressed by previous SPAN directives and guidelines.  Systems that have
  71. implemented these guidelines are not at risk. 
  72.  
  73. A random number generator is used to pick the next node the worm will try
  74. to infect. The worm contains an internal list of 82 canned usernames that
  75. it will try against a system.  
  76.  
  77. In addition, it attempts to copy the file RIGHTSLIST.DAT from the selected
  78. target node.  This file is normally protected W:R. If this file is
  79. successfully copied, a list of usernames specific to the target system will
  80. be generated and some subset of those will be appended to the "canned"
  81. list.  The candidate words the worm uses whether or not it was successful
  82. at accessing RIGHTSLIST.DAT are the following: 
  83.  
  84.       ACCOUNITING   ACCOUNTS     ALLIN1       APPLETALK     ARCHIVE
  85.       BACKUP        CADCAM       COGNOS       CRAYSTN       CUSTOMER
  86.       DDSNET        DEC          DECNET       DEFAULT       DEMO
  87.       DFS$DEFAULT   DIGITAL      DNS$SERVER   DQS$SERVER    ETHERNIM  
  88.       EXOS          FIELD        GAMES        GUEST         HASP
  89.       IBM           INGRES       INVENTORY    ISSYS         IVP
  90.       LIBRARY       LN03_DLAND   LPS$SERVER   MAC           MAIL
  91.       MAILER        MANAGER      MANUALS      MASS11        MBMANAGER
  92.       MIS           MRGATE       MANAGER      NETNONPRIV    NETPRIV
  93.       NEWSMGR       NOTES$SERVER OPER         OPERATOR      ORACLE
  94.       OSI           PCAPP        PCCOMMON     PLUTO         POSTMASTER
  95.       RDBVMS$REM    RHM          SECURITY     SHUTDOWN      SNACSV
  96.       SPEAR         SPM          SRS          STUDENT       SUPPLIES
  97.       SYSINF        SYSTEM       SYSTEST      SYSTEST_CLIG  TAPESYS
  98.       TCP           TELEX        TEMP         TEST          TRAINING
  99.       TRANSFER      USER         USER1        USERP         VAXNET
  100.       VAXSIM        VTX          VXSYS
  101.  
  102. The PASSWORDS tried against the set of accounts MAY be the username
  103. ONLY, OR other passwords may be tried (such as DIGITAL, PSIPAD, MANAGER,
  104. etc) apparently depending on the version of the WORM. A bug in the worm
  105. prevents it from testing the null password as previously suspected. 
  106.  
  107.                           --------------
  108. [The following section provides information relating to the behavior of
  109. the worm. This information was primarily supplied by Kevin Oberman of
  110. LLNL and John McMahon of GSFC]
  111.                           --------------
  112.  
  113. 1. The program assures that it is working in a directory to which the owner
  114.    (itself) has full access (Read, Write,Execute, and Delete).
  115.  
  116. 2. The program checks to see if another copy is still running. It looks for a
  117.    process with the first 5 characters of "NETW_". If such is found, it deletes
  118.    itself (the file) and stops its process.
  119.  
  120.                                NOTE
  121.  
  122.     This check is done using the F$GETJPI system service.  The results
  123.     vary depending on the amount of priviliges the account possesses.
  124.     Non-priviliged accounts which are penetrated will only be able to
  125.     return information about their own UIC, so multiple copies of the
  126.     worm could be running simultaneously under different usernames.
  127.  
  128.  
  129. 3. The program then changes the default DECNET account password to a random
  130.    string of at least 12 characters.
  131.  
  132. 4. Information on the infected node and account/password used to access the
  133.    system is mailed to a central collection point on SPAN. 
  134.  
  135. 5. The process changes its name to "NETW_" followed by a random number.
  136.  
  137. 6. It checks to see if it has SYSNAM priv. If so, it defines the system
  138.    announcement message to be the WANK banner.
  139.  
  140. 7. If it has SYSPRV, it disables mail to the SYSTEM account.
  141.  
  142. 8. Also if it has SYSPRV, it modifies the system login command procedure 
  143.    (SYLOGIN.COM) to APPEAR to delete all of a user's files. (It really does
  144.    nothing.) 
  145.  
  146. 9. The procedure then scans the accounts logical name table for symbols
  147.    which contain directory specifications. Each directory located is searched
  148.    for command procedures within it protected (W:RWED). Any such procedures
  149.    have code inserted at the top which tries to modify the FIELD account to a
  150.    known password with login from any source and all privs. This is a
  151.    primitive virus, but very effective IF the procedure should be executed by
  152.    a priviliged account. 
  153.  
  154. 10. It proceeds to attempt to access other systems by picking node numbers
  155.    at random. It then used PHONE to get a list of active users on the remote
  156.    system. It proceeds to irritate them by causing the PHONE object to send 
  157.    them a one-line "fortune cookie" type message.  The appearance of this 
  158.    message does not indicate a penetration attempt on that node, more 
  159.    appropriately, it indicates an "irritation attempt".
  160.  
  161.                                  NOTE
  162.    If your site receives these PHONE messages the source node
  163.    information can be found in the NETSERVER.LOG files in your DECnet
  164.    default ac