home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.a3 < prev    next >
Encoding:
Text File  |  2003-06-11  |  12.5 KB  |  552 lines
  1. _______________________________________________________________________
  2.  
  3.  
  4.  
  5. THE COMPUTER INCIDENT ADVISORY CAPABILITY (CIAC) ADVISORY NOTICE
  6.  
  7. _______________________________________________________________________
  8.  
  9.  
  10.  
  11.     Tools available to check the spread of the "WANK" Worm
  12.  
  13.  
  14.  
  15.  
  16.  
  17. October 20, 1989 1130 PST                        Number A-3
  18.  
  19.  
  20.  
  21.  
  22.  
  23. Summary
  24.  
  25.  
  26.  
  27. This is a follow-up bulletin to the CIAC advisory notice A-2 dated
  28.  
  29. October 16, 1989, stating that the "WANK" worm is attacking HEPnet and
  30.  
  31. the NASA SPAN network on VAX/VMS systems connected via DECnet.  Our
  32.  
  33. latest information is that  approximately 60 to 70 systems, mostly at
  34.  
  35. non-DOE sites, have been  infected.  The rate at which this worm is
  36.  
  37. spreading seems to be slowing, although more detailed information about
  38.  
  39. the spread of this worm is not currently available.
  40.  
  41.  
  42.  
  43. CIAC now has additional information about the "WANK" computer worm
  44.  
  45. outbreak.  The worm targets VMS machines, and can only be propagated
  46.  
  47. via DECnet.  The worm exploits well known security holes within the
  48.  
  49. DECnet/VMS system in order to propagate itself.  However, most DOE
  50.  
  51. sites have not yet been affected.  In order to help prevent your site
  52.  
  53. >from becoming infected, we recommend that you follow procedures
  54.  
  55. described in this bulletin , and use a tool to check your VAX/VMS
  56.  
  57. systems for the same weaknesses the worm exploits.  We also are
  58.  
  59. providing you with a list of the worm symptoms, as well as a tool to
  60.  
  61. kill the worm if your systems become infected.
  62.  
  63.  
  64.  
  65. If your site is infected, or if you have any questions, please contact
  66.  
  67. CIAC.  CIAC phone numbers and addresses appear at the end of this
  68.  
  69. notice.
  70.  
  71.  
  72.  
  73. Advisory Notice
  74.  
  75.  
  76.  
  77. A computer worm written in DCL for DEC-VMS has been attacking the
  78.  
  79. HEPnet and the NASA  SPAN networks.  This worm can only be propagated
  80.  
  81. via DECnet.  The primary methods of attack include a brute force attack
  82.  
  83. on passwords as well as exploiting well known security vulnerabilities
  84.  
  85. of DECnet/VMS.  One vulnerability is the default DECnet account, which
  86.  
  87. is a facility for users who do not have a specific login ID for a
  88.  
  89. machine and want some degree of anonymous access. It uses the default
  90.  
  91. DECnet account to copy itself to a machine, and then uses the "TASK 0"
  92.  
  93. and Submit/Remote features of DECnet to invoke the remote copy.   Once
  94.  
  95. the worm has successfully penetrated a system, it will infect .COM
  96.  
  97. files and create new security vulnerabilities.  It then broadcasts
  98.  
  99. these vulnerabilities to another machine.  It may also damage files or
  100.  
  101. crash systems.
  102.  
  103.  
  104.  
  105. In our last memo we published an analysis of the worm by Kevin
  106.  
  107. Oberman.  That analysis contained a error that we would like to
  108.  
  109. correct.  In that notice we printed the quote:
  110.  
  111.  
  112.  
  113. 4. Information on the password used to access the system is mailed to
  114.  
  115. the user GEMTOP on SPAN node 6.59. Some versions may have a different
  116.  
  117. address.
  118.  
  119.  
  120.  
  121. The actual user is "GEMPAK" not "GEMTOP".
  122.  
  123.  
  124.  
  125. Visible Symptoms
  126.  
  127.  
  128.  
  129. The following information is an extract from a report by John McMahon
  130.  
  131. on detecting the symptoms of the WANK worm.  This information was
  132.  
  133. compiled after a thorough analysis of copies of various versions  of
  134.  
  135. the WANK worm retrieved from different infected sites.  There are
  136.  
  137. indications that these copies were derived from three different
  138.  
  139. "starter" versions of the worm.  The worm is self-modifying, and may
  140.  
  141. also have been manually modified by others.  There may also be other
  142.  
  143. currently undetected versions of the worm with additional
  144.  
  145. capabilities.
  146.  
  147.  
  148.  
  149. Specifically, some or all of the following symptoms have been noted on
  150.  
  151. infected systems:
  152.  
  153.  
  154.  
  155. 1) Account passwords have been changed without the knowledge of the
  156.  
  157. user, or the system manager.
  158.  
  159.  
  160.  
  161. 2) Processes are running on your system with the process name NETW_nnnn
  162.  
  163. (where nnnn is a random number). Check this with the SHOW SYSTEM
  164.  
  165. command.
  166.  
  167.  
  168.  
  169. 3) Command procedures/data file names starting with one or two letters
  170.  
  171. and up to a five digit number appear in the SYS$LOGIN: directory of an
  172.  
  173. account. Examples: C12345.COM, A7007.DAT.
  174.  
  175.  
  176.  
  177.    Note: Earlier reports that the file W.COM is created by the worm
  178.  
  179.    appear to be in error.  Any "anti-worm" procedure involving the
  180.  
  181.    creation of a blank W.COM;32767 will NOT stop the worm.
  182.  
  183.  
  184.  
  185. 4) The SYS$ANNOUNCE message, prior to the USERNAME: login prompt, has
  186.  
  187. been
  188.  
  189.    redefined to the following WANK logo.
  190.  
  191.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  192.  
  193.     _______________________________________________________________
  194.  
  195.     \__  ____________  _____    ________    ____  ____   __  _____/
  196.  
  197.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  198.  
  199.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  200.  
  201.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  202.  
  203.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  204.  
  205.          \___________________________________________________/
  206.  
  207.           \                                                 /
  208.  
  209.            \    Your System Has Been Officically WANKed    /
  210.  
  211.             \_____________________________________________/
  212.  
  213.  
  214.  
  215.      You talk of times of peace for all, and then prepare for war.
  216.  
  217.  
  218.  
  219. 5) The SYSTEM account can no longer receive mail.  The DISMAIL flag has
  220.  
  221. been set in SYSTEM's UAF record.
  222.  
  223.  
  224.  
  225. 6) Users log into the system and report that all of their files have
  226.  
  227. been deleted while logging in.  The user observes many %DELETE-I-FILDEL
  228.  
  229. messages ,and DIRECTORY reports that no files are found.  The system
  230.  
  231. manager follows up on this report and finds the files are still there,
  232.  
  233. and that the system login procedure (SYLOGIN, SYS$SYLOGIN) has been
  234.  
  235. modified.
  236.  
  237.    Note: Earlier reports that the worm performs mass deletion of files
  238.  
  239.    appears to be in error.
  240.  
  241.  
  242.  
  243. 7) Command procedures have been modified with code to reactivate the
  244.  
  245. FIELD account if the person running the procedure has SYSPRV.
  246.  
  247.  
  248.  
  249. 8) A remote DECnet site contacts you about odd VAXPhone call messages
  250.  
  251. coming from your node.  The VAXPhone ring messages do not contain a
  252.  
  253. userid, but a strange "fortune cookie" saying.
  254.  
  255.  
  256.  
  257.    Note: the node id can be found in the NETSERVER.LOG files in your
  258.  
  259.    DECnet default account.  [CIAC note]: Please note the node number of
  260.  
  261. the system that sent you the message and pass that information to your
  262.  
  263. respective network security manager, or CIAC so that the infected node
  264.  
  265. can be informed.
  266.  
  267.  
  268.  
  269. 9) Top-level directories have had their OWNER protection field changed
  270.  
  271. to O:RWED.
  272.  
  273.  
  274.  
  275. 10) A remote DECnet site contacts you about logfails (on several
  276.  
  277. accounts) on the remote site which were traced back to an account on
  278.  
  279. your machine. Similarly, a remote site contacts you because a local
  280.  
  281. account tried to read the SYSUAF/RIGHTSLIST files on the remote node.
  282.  
  283.  
  284.  
  285.  Regardless of whether or not you think you have been infected,
  286.  
  287.  download the ANTIWANK.COM command procedure and start it running on
  288.  
  289. your node immediately.  This program will kill copies of the worm that
  290.  
  291. are running on your node.
  292.  
  293.  
  294.  
  295. You may see the whole list of symptoms and recommended fixes by
  296.  
  297. obtaining the file WORM-INFO.COM.  See details below.
  298.  
  299.  
  300.  
  301. Procedures to stop the spread of this worm
  302.  
  303.  
  304.  
  305. CIAC recommends that you use the following procedures, quoted from a
  306.  
  307. message by Ron Tencati (SPAN Security Manager), to stop the spread of
  308.  
  309. the WANK worm:
  310.  
  311.  
  312.  
  313. 1) It is IMPERATIVE that all systems protect or remove the DECnet TASK
  314.  
  315. 0 object to prevent reoccurrence of this worm, OR MORE SERIOUS ATTACKS
  316.  
  317. OF THIS KIND IN THE FUTURE!
  318.  
  319.  
  320.  
  321.    The TASK object can be secured by either of the following methods:
  322.  
  323.  
  324.  
  325. Method 1)
  326.  
  327.  
  328.  
  329.         Issue the command:
  330.  
  331.  
  332.  
  333.                 NCP> CLEAR OBJECT TASK ALL
  334.  
  335.  
  336.  
  337.         after the network is started up.  This command can also be
  338.  
  339.         inserted into the procedure SYSTARTUP>COM (SYSTARTUP_V5.COM on
  340.  
  341.         V5.x systems) after the call to STARTNET.COM.  In addition
  342.  
  343.         which the system is running, this command must be executed EACH
  344.  
  345.         TIME the network is restarted.
  346.  
  347.  
  348.  
  349. Method 2:
  350.  
  351.  
  352.  
  353.         Issue the following commands ONCE:
  354.  
  355.  
  356.  
  357.         NCP> SET OBJECT TASK USER DECNET PASSWORD <a bunch of garbage>
  358.  
  359.         NCP> DEFINE OBJECT TASK USER DECNET PASSWORD <a bunch of
  360.  
  361.         garbage>
  362.  
  363.  
  364.  
  365.         This causes a login failure to be generated whenever the TASK
  366.  
  367.         object is accessed.  Once done, this change will be permanent.
  368.  
  369.  
  370.  
  371.                 NOTE We have received one report that TASK 0 is
  372.  
  373.         required for DECwindows.  Read your documentation!
  374.  
  375.  
  376.  
  377. 2) Under NO circumstances it is acceptable for an account to have a
  378.  
  379. password the same as the username.  Passwords (passPHRASES) should be
  380.  
  381. created so that they are difficult to guess, multi- word phrases are
  382.  
  383. preferable.  As a precaution, we recommend that all passwords be
  384.  
  385. changed.  Additionally, system managers may choose to revalidate ALL
  386.  
  387. accounts.
  388.  
  389.  
  390.  
  391. If a system had the DECNET TASK 0 protected as above, the DECNET
  392.  
  393. account protected against SUBMIT/REMOTE (described below) and no user
  394.  
  395. had their userid as their password, it was immune to this WORM.  As a
  396.  
  397. result, the number of nodes actually INFECTED by this attack is
  398.  
  399. relatively small.  The number ATTACKED however, is large.
  400.  
  401.  
  402.  
  403. 3. NETWORK ATTACKS
  404.  
  405.  
  406.  
  407. To protect against the SUBMIT/REMOTE attack, run AUTHORIZE and make
  408.  
  409. sure that all network account flags are set to NOBATCH, NODIALUP,
  410.  
  411. NOLOCAL, and NOREMOTE.
  412.  
  413.  
  414.  
  415. 4. FIELD ACCOUNT
  416.  
  417.  
  418.  
  419. Make sure the FIELD ACCOUNT does not have the password FIELD.   DISUSER
  420.  
  421. the account.  You must SEARCH all .COM files for a
  422.  
  423. "field/remote/dialup."  If the search shows it is in .COM files, They
  424.  
  425. have a trojan horse appended to the files.  When the .COM file is
  426.  
  427. executed, This Trojan horse will try to reset account FIELD to
  428.  
  429. /NODISUSER and password to FIELD.  You should either delete the
  430.  
  431. corrupted .COM file and obtain a good one elsewhere, or examine the
  432.  
  433. file and remove the affected lines of the command procedure.
  434.  
  435.  
  436.  
  437. 5. WORM FILES
  438.  
  439.  
  440.  
  441. The WORM source files are W.COM or a single alphabetic character (C or
  442.  
  443. D) followed by 4 or 5 numeric characters. (Cnnnnn.COM), ("nnnn"
  444.  
  445. represents a random number).  The WORM will start a process or
  446.  
  447. processes running.  These processes are named in format NETW_nnnn, and
  448.  
  449. should be deleted.  PHONE_nnnn may also be running as the WORM utilizes
  450.  
  451. the PHONE object in an attempt to send a message to a user on another
  452.  
  453. randomly selected node.
  454.  
  455.  
  456.  
  457. 6. ALARMS
  458.  
  459.  
  460.  
  461. Some alarms generated by the WORM are related to PHONE.EXE and
  462.  
  463. FAL.EXE.  The majority of the alarms are login failures as the WORM
  464.  
  465. attempts to log into specific accounts.
  466.  
  467.  
  468.  
  469. We recommend that alarms be set immediately for logins, logouts,
  470.  
  471. breakin attempts, modifications to the system and net UAF's, and to
  472.  
  473. changes to user and system passwords.
  474.  
  475.  
  476.  
  477. Tools available
  478.  
  479.  
  480.  
  481. A series of tools are available to control the WANK worm.  These may be
  482.  
  483. obtained by anonymous FTP access from node ROGUE.LLNL.GOV
  484.  
  485. (128.115.2.99). They may also be obtained from SPAN and ESnet.  Contact
  486.  
  487. CIAC for more information.
  488.  
  489.  
  490.  
  491. [.SECURITY]CHECK_SYSTEM.COM, written by Kevin Oberman, will check your
  492.  
  493. entire system for the security holes used by the WANK worm.  It then
  494.  
  495. reports back all system problems so that they can be corrected.
  496.  
  497.  
  498.  
  499. DEC has provided a fix for the well known problem with the default
  500.  
  501. DECnet account hole called  SYS$UPDATE:NETCONFIG_UPDATE.COM for VMS
  502.  
  503. V5.2.  It is available from the VMS V5.2 distribution tape.  If you
  504.  
  505. have this, CIAC recommends that you run it now.  If you donUt have
  506.  
  507. access or are running an earlier system such as V4., you may obtain
  508.  
  509. >from ROGUE.LLNL.GOV a program called: FIX-FAL.COM which fixes the
  510.  
  511. default DECnet account.
  512.  
  513.  
  514.  
  515. The program by John McMahon can be obtained by downloading
  516.  
  517. ANTIWANK.COM.  This program kills the worm processes.  You can also run
  518.  
  519. it as a vaccine even if your systems have not been infected.
  520.  
  521.  
  522.  
  523. WORM-INFO.TXT contains an important report by John McMahon .  It
  524.  
  525. contains a list of symptoms, recommended proceduresand the code for
  526.  
  527. ANTIWANK.COM.
  528.  
  529.  
  530.  
  531. If your site has been infected, or if you have any questions, please
  532.  
  533. contact either of the following CIAC team members:
  534.  
  535.  
  536.  
  537.         David Brown, (415) 423-9878 or FTS 543-9878 
  538.  
  539.         Gene Schultz, (415) 422-8193 or FTS 532-8193
  540.  
  541.          or send electronic mail to:ciac@tiger.llnl.gov
  542.  
  543.          CIAC FAX: (415) 422-4294 FTS 532-4294
  544.  
  545.  
  546.  
  547.  
  548.  
  549.  
  550.  
  551. 
  552.