home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / cert0005.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.3 KB  |  218 lines
  1.  
  2. -----BEGIN PGP SIGNED MESSAGE-----
  3.  
  4.  
  5. CA-89:04
  6.                                  CERT Advisory
  7.                                 October 17, 1989
  8.                            "WANK" Worm On SPAN Network 
  9.  
  10. - -----------------------------------------------------------------------------
  11.  
  12. On 16 October, the CERT received word from SPAN network control that a
  13. worm was attacking SPAN VAX/VMS  systems.  This worm affects only DEC
  14. VMS systems and is  propagated via DECnet protocols,  not TCP/IP protocols.
  15. If a VMS system had other network connections, the worm was not programmed
  16. to take advantage of those connections.  The worm is very similar to last
  17. year's  HI.COM  (or Father Christmas) worm.
  18.  
  19. This is NOT A PRANK.  Serious security holes are left open by this worm.
  20. The worm takes advantage of poor password management, modifies .com files,
  21. creates a new account, and spreads to other systems via DECnet.
  22.  
  23. It is also important to understand that someone in the future could launch
  24. this worm on any DECnet based network.  Many copies of the virus have been
  25. mailed around.  Anyone running a DECnet network should be warned.
  26.  
  27. R. Kevin Oberman from Lawrence Livermore National Labs reports:
  28.      "This is a mean bug to kill and could have done a lot of damage.
  29.      Since it notifies (by mail) someone of each successful penetration
  30.      and leaves a trapdoor (the FIELD account), just killing the bug is
  31.      not adequate.  You must go in an make sure all accounts have
  32.      passwords and that the passwords are not the same as the account
  33.      name."
  34.  
  35. The CERT/CC also suggests checking every .com file on the system.  The
  36. worm appends code to .com files which will reopen a security hole everytime
  37. the program is executed.
  38.  
  39. An analysis of the worm appears below and is provided by R. Kevin Oberman of 
  40. Lawrence Livermore National Laboratory.  Included with the analysis is a 
  41. DCL program that will block the current version of the worm.  At least 
  42. two versions of this worm exist and more may be created.  This program 
  43. should give you enough time to close up obvious security holes.
  44.  
  45. If you have any technical questions or have an infected system, please
  46. call the CERT/CC:
  47.  
  48. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  49.                           Report on the W.COM worm.
  50.                                R. Kevin Oberman
  51.                             Engineering Department
  52.                     Lawrence Livermore National Laboratory
  53.                                October 16, 1989
  54.  
  55. The following describes the action of the W.COM worm (currently based on the
  56. examination of the first two incarnations). The replication technique causes
  57. the code to be modified slightly which indicates the source of the attack and
  58. learned information.
  59.  
  60. All analysis was done with more haste than I care for, but I believe I have all
  61. of the basic facts correct.
  62.  
  63. First a description of the program:
  64.  
  65. 1. The program assures that it is working in a directory to which the owner
  66. (itself) has full access (Read, Write,Execute, and Delete).
  67.  
  68. 2. The program checks to see if another copy is still running. It looks for a
  69. process with the first 5 characters of "NETW_". If such is found, it deletes
  70. itself (the file) and stops its process.
  71.  
  72.                                      NOTE
  73. A quick check for infection is to look for a process name starting with
  74. "NETW_". This may be done with a SHOW PROCESS command.
  75.  
  76. 3. The program then changes the default DECNET account password to a random
  77. string of at least 12 characters.
  78.  
  79. 4. Information on the password used to access the system is mailed to the user
  80. GEMPAK on SPAN node 6.59. Some versions may have a different address.
  81.  
  82. 5. The process changes its name to "NETW_" followed by a random number.
  83.  
  84. 6. It then checks to see if it has SYSNAM priv. If so, it defines the system
  85. announcement message to be the banner in the program:
  86.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  87.     _______________________________________________________________
  88.     \__  ____________  _____    ________    ____  ____   __  _____/
  89.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  90.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  91.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  92.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  93.          \___________________________________________________/
  94.           \                                                 /
  95.            \    Your System Has Been Officically WANKed    /
  96.             \_____________________________________________/
  97.  
  98.      You talk of times of peace for all, and then prepare for war.
  99.  
  100. 7. If it has SYSPRV, it disables mail to the SYSTEM account.
  101.  
  102. 8. If it has SYSPRV, it modifies the system login command procedure to 
  103. APPEAR to delete all of a user's file. (It really does nothing.)
  104.  
  105. 9. The program then scans the accounts logical name table for command
  106. procedures and tries to modify the FIELD account to a known password
  107. with login form any source and all privs. This is a primitive virus,
  108. but very effective IF it should get into a privileged account.
  109.  
  110. 10. It proceeds to attempt to access other systems by picking node numbers at
  111. random. It then used PHONE to get a list of active users on the remote system.
  112. It proceeds to irritate them by using PHONE to ring them.
  113.  
  114. 11. The program then tries to access the RIGHTSLIST file and attempts
  115. to access some remote system using the users found and a list of
  116. "standard" users included with the worm. It looks for passwords
  117. which are the same as that of the account or are blank. It records all
  118. such accounts.
  119.  
  120. 12. It looks for an account that has access to SYSUAF.DAT.
  121.  
  122. 13. If a priv. account is found, the program is copied to that account and
  123. started. If no priv account was found, it is copied to other accounts found on
  124. the random system.
  125.  
  126. 14. As soon as it finishes with a system, it picks another random system and
  127. repeats (forever).
  128.  
  129. Response:
  130.  
  131. 1. The following program will block the worm. Extract the following code
  132. and execute it. It will use minimal resources. It create a process named
  133. NETW_BLOCK which will prevent the worm from running.
  134. - -------
  135. Editors note:  This fix will work only with this version of the worm.  
  136. Mutated worms will require modification of this code; however, this 
  137. program should prevent the worm from running long enough to secure 
  138. your system from the worms attacks.
  139. - -------
  140. ==============================================================================
  141. $ Set Default SYS$MANAGER
  142. $ Create BLOCK_WORM.COM
  143. $ DECK/DOLLAR=END_BLOCK
  144. $LOOP:
  145. $ Set Process/Name=NETW_BLOCK
  146. $ Wait 12:0
  147. $ GoTo loop
  148. END_BLOCK
  149. $ Run/Input=SYS$MANAGER:BLOCK_WORM.COM/Error=NL:/Output=NL:/UIC=[1,4] -
  150.     SYS$SYSTEM:LOGINOUT
  151. ==============================================================================
  152. - -------
  153. Editors note:  This fix might only work if the worm is running as SYSTEM.
  154. An earlier post made by the CERT/CC suggested the following:
  155.         $ Run SYS$SYSTEM:NCP
  156.         Clear Object Task All
  157.         ^Z
  158.  
  159. You must then edit the file SYS$MANAGER:STARTNET.COM, and add the line
  160.  
  161.         CLEAR OBJECT TASK ALL
  162.  
  163. AFTER the line which says
  164.  
  165.         SET KNOWN OBJECTS ALL
  166.  
  167. This has the side-effect of disabling users from executing any command
  168. procedure via DECnet that the system manager has not defined in the
  169. DECnet permanent database.
  170. - ---------
  171. 2. Enable security auditing. The following command turns on the MINIMUM
  172. alarms. The log is very useful in detecting the effects of the virus left by
  173. the worm. It will catch the viruses modification of the UAF.
  174. $ Set Audit/Alarm/Enable=(ACL,Authorization,Breakin=All,Logfailure=All)
  175.  
  176. 3. Check for any account with NETWORK access available for blank passwords or
  177. passwords that are the same as the username. Change them!
  178.  
  179. 4. If you are running VMS V5.x, get a copy of SYS$UPDATE:NETCONFIG_UPDATE.COM
  180. from any V5.2 system and run it. If you are running V4.x, change the username
  181. and password for the network object "FAL".
  182.  
  183. 5. If you have been infected, it will be VERY obvious. Start checking the
  184. system for modifications to the FIELD account. Also, start scanning the system
  185. for the virus. Any file modified will contain the following line:
  186. $ oldsyso=f$trnlnm("SYS$OUTPUT")
  187. It may be in LOTS of command procedures. Until all copies of the virus are
  188. eliminated, the FIELD account may be changed again.
  189.  
  190. 6. Once you are sure all of the holes are plugged, you might kill off
  191. NETW_BLOCK. (And then again, maybe not.)
  192.  
  193. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  194.  
  195. Computer Emergency Response Team (CERT)
  196. Software Engineering Institute
  197. Carnegie Mellon University
  198. Pittsburgh, PA 15213-3890
  199.  
  200. Internet: cert@cert.org
  201. Telephone: 412-268-7090 24-hour hotline: CERT personnel answer
  202.            7:30a.m.-6:00p.m. EST, on call for
  203.            emergencies other hours.
  204.  
  205. Past advisories and other information are available for anonymous ftp
  206. from cert.org (192.88.209.5).
  207.  
  208. -----BEGIN PGP SIGNATURE-----
  209. Version: 2.6.2
  210.  
  211. iQCVAwUBMaMwa3VP+x0t4w7BAQErmQP8Ck7SsSatKnIDAMtha7MpEOOoouGGbj/P
  212. Z8BoNNmG3LWoflWJrY2laU9LlG27xhPw+hbGGQfcBcair/+UY6aMrKG3A/dCLKPU
  213. wQNeSWmqLVQQ377twMsc9cCULK2a1WUK6kQJozUV0NVJhfxwJCVCAZw92nqZUyK4
  214. +PCbCHxaakk=
  215. =87gm
  216. -----END PGP SIGNATURE-----
  217.  
  218.