home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.a6 < prev    next >
Encoding:
Text File  |  2003-06-11  |  3.8 KB  |  92 lines
  1.  
  2.  
  3.            FOR OFFICIAL DEPARTMENT OF ENERGY USE ONLY
  4. ________________________________________________________________________
  5.             THE COMPUTER INCIDENT ADVISORY CAPABILITY
  6.  
  7.                              CIAC
  8.  
  9.                      INFORMATION BULLETIN
  10. ________________________________________________________________________
  11.  
  12.     Information about a trojan horse in Norton Utilities for IBM 
  13.                          PCs and clones
  14.  
  15. November 7, 1989, 1730 PST                                     Number A-6
  16.  
  17.  
  18. CIAC has been informed that a trojan horse has been found in a number
  19. of IBM PCs and PC clones which run Norton Computing utilities.  This
  20. trojan horse appears superficially to be a legitimate file within
  21. Norton Utilities named either NORTSTOP.ZIP or NORTSHOT.ZIP.  (The file
  22. contents are the same, regardless of the name used.)  The trojan horse
  23. program must be run (i.e., the EXE file for the program must be
  24. executed) for any damage to occur to your system.  If run, the program
  25. lists the directory and displays a message that one's machine is free
  26. of viruses.  Damage resulting from running this program occurs only if
  27. the trojan horse program is executed between December 24 and December
  28. 31 inclusive.  In this case, the program will erase files with
  29. selected file extensions.
  30.  
  31. Detection
  32.  
  33. You can detect this trojan horse by using Norton Utilities to examine
  34. the .EXE file for either of the.ZIP files listed above.  The EXE file
  35. will contain the following message:
  36.  
  37.     The Norton Public Domain Virus Utility,  PD Edition 5.50,   (C) 1989
  38.     Peter Norton
  39.  
  40.     Your System has been infected with a Christmas virus! Selected
  41.     files were just eliminated!  Without these files, you might as well
  42.     use your computer as a damn, boat anchor!  If you do NOT own a
  43.     boat, you may want to replace the files which were just erased.
  44.     Try to determine which files they were.  HARDY   HA!  HA!  HA!  HOW
  45.     DO YOU FEEL NOW; YOU IDIOT?  MERRY CHRISTMAS AND HAPPY NEW YEAR!
  46.  
  47. If your system has the trojan horse, you will obtain a report similar
  48. to the following when using PKUNZIP (a utility which separates and
  49. decompresses files):
  50.  
  51. 1065   Implode   650    39%    10-04-89   12:26   9778978d  --w  READ-ME.NOW
  52. 38907  Implode   30156  23%    10-02-89   11:57   c333dec0  --w  NORTSHOT.EXE
  53. -----           ------ -----                                  ---------------
  54. 39972           30806   23%                                            2
  55.  
  56.  
  57. Eradication
  58.  
  59. If you should discover this trojan horse, do not execute the file
  60. NORTSHOT.EXE.  Please make a copy of the bogus .EXE and .ZIP files on
  61. a diskette before you do anything else.  Eradicating the NORTSTOP.ZIP
  62. and NORTSHOT.ZIP trojan horse is straightforward; simply use your disk
  63. operating system to delete all files named NORTSHOT.EXE and the .ZIP
  64. file that created it.  Please then send the diskette to CIAC at the
  65. address below as soon as possible.
  66.  
  67. Note
  68.  
  69. According to information provided to CIAC, this trojan horse is not
  70. found in the version of Norton Utilities sold in commercial software
  71. outlets.  It is only found in versions of Norton Utilities available
  72. from public sources (e.g., bulletin boards).
  73.  
  74. NORTSTOP.ZIP and NORTSHOT.ZIP are not viruses.  They will not
  75. replicate themselves and spread from machine to machine.  One you have
  76. removed this trojan horse, it can only be reintroduced by copying the
  77. files once again from public sources.
  78.  
  79. To send copies of the trojan horse, or to obtain further information
  80. about this problem, please contact:
  81.  
  82. Tom Longstaff,  CIAC
  83. Lawrence Livermore National Laboratory
  84. P.O. Box 808, L-540
  85. Livermore, CA  94550
  86. (415) 423-4416 or FTS 543-4416 
  87.  
  88. Send electronic mail to: ciac@tiger.llnl.gov
  89.  
  90. CIAC FAX: (415) 422-4294 FTS 532-4294
  91.  
  92.