home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b12 < prev    next >
Encoding:
Text File  |  2003-06-11  |  8.0 KB  |  309 lines
  1.  
  2.  
  3.         _____________________________________________________
  4.  
  5.              The Computer Incident Advisory Capability
  6.  
  7.                          ___  __ __    _     ___
  8.  
  9.                         /       |     / \   /
  10.  
  11.                         \___  __|__  /___\  \___
  12.  
  13.         _____________________________________________________
  14.  
  15.                          Information Bulletin       
  16.  
  17.                                    
  18.  
  19.                     GAME2 MODULE "Worm" on BITNET
  20.  
  21.                                    
  22.  
  23. January 18, 1991, 1200 PST                                      Number B-12
  24.  
  25.  
  26.  
  27.                      Critical GAME2 MODULE Facts
  28.  
  29.  
  30.  
  31. PROBLEM:  Self-replicating mail message (worm) on external BITNET RSCS systems
  32.  
  33. PLATFORM: IBM VM/CMS 
  34.  
  35. DAMAGE: May flood the mail queue of the infected computers
  36.  
  37. IMMUNIZATION:  RSCS filter program available from IBM (at no cost)
  38.  
  39. ________________________________________________________________________
  40.  
  41.  
  42.  
  43. CIAC has been informed of a new self-replicating mail message
  44.  
  45. currently circulating around the external BITNET.  Preliminary reports
  46.  
  47. indicate that this message, also known as a BITNET worm or trojan
  48.  
  49. horse, has been received on a number of IBM VM/CMS systems connecting
  50.  
  51. to the external BITNET.  The worm consists of a message containing a
  52.  
  53. REXX module and instructions for saving and executing the module (with
  54.  
  55. the name GAME2) in a user's local a: drive.  When executed, this
  56.  
  57. module will display a message on the screen as it sends copies of
  58.  
  59. itself to each entry in the user's CMS NAMES file.
  60.  
  61.  
  62.  
  63. Since this worm requires user initiation to spread, the rate of
  64.  
  65. expansion of this worm has been limited.  However, there is the
  66.  
  67. potential to flood the mail queues of IBM VM/CMS systems if the worm
  68.  
  69. becomes widespread.  The worm is similar in nature to the BITNET worm
  70.  
  71. described in CIAC bulletin B-7, and may be blocked using same RSCS
  72.  
  73. filter program described in that notice and available from IBM.
  74.  
  75.  
  76.  
  77. The worm was initially named "GAME2 MODULE" and consisted of a REXX
  78.  
  79. program that will display several messages (such as "Please
  80.  
  81. Waiting") and a simple Hello/Bye message.  While these messages are
  82.  
  83. displayed, the REXX code will send a copy of the GAME2 MODULE to each
  84.  
  85. entry in the user's NAMES file.
  86.  
  87.   
  88.  
  89. COUNTERMEASURES
  90.  
  91.  
  92.  
  93. As mentioned in CIAC bulletin B-7, sites running VM/CMS should install
  94.  
  95. and use the RSCS filter program (available free from IBM).  This
  96.  
  97. filter program is called the selective file filter, and was announced
  98.  
  99. in the IBM VM Software Newsletter (WSC Flash 9013).  Contact your
  100.  
  101. local IBM representative for details.  This program can scan for file
  102.  
  103. names or file types, then place them into the punch queue for later
  104.  
  105. identification and analysis.  As a minimum level of protection, all
  106.  
  107. files with the name and type of "TERM MODULE" should be examined prior
  108.  
  109. to receipt by the user.  Sites which do not routinely transmit
  110.  
  111. compiled REXX code may wish to wildcard the filename and scan for all
  112.  
  113. files with a filetype of MODULE.  This may help to protect against
  114.  
  115. future versions of the worm that might have a different file name.
  116.  
  117.  
  118.  
  119. We recommend that you also notify users that they should neither
  120.  
  121. receive nor execute any program without first browsing it or
  122.  
  123. discussing its operation with the sender.  The VM/CMS reader is
  124.  
  125. designed to prevent problems associated with executing unfamiliar
  126.  
  127. programs, and should be used for this purpose.  If you receive an
  128.  
  129. unknown file with a filetype of EXEC or MODULE, immediately contact
  130.  
  131. your computer security officer for information and assistance.  Please
  132.  
  133. also notify CIAC, as we wish to track any spread of this worm.
  134.  
  135.  
  136.  
  137. For additional information or assistance, please contact CIAC
  138.  
  139.  
  140.  
  141.         Thomas A. Longstaff
  142.  
  143.         (415) 423-4416 or (FTS) 543-4416
  144.  
  145.  
  146.  
  147. During working hours, call CIAC at (415) 422-8193 or (FTS) 532-8193.
  148.  
  149. For non-working hour emergencies , call (415) 422-7222 or (FTS)
  150.  
  151. 532-7222 and ask for CIAC (this is a new emergency number) send FAX
  152.  
  153. messages to: (415) 423-0913 or (FTS) 543-0913
  154.  
  155. ___
  156.  
  157. * BITNET is a communications network among industries and universities around the world.   
  158.  
  159.  
  160.  
  161. Neither the United States Government nor the University of California
  162.  
  163. nor any of their employees, makes any warranty, expressed or implied,
  164.  
  165. or assumes any legal liability or responsibility for the accuracy,
  166.  
  167. completeness, or usefulness of any information, product, or process
  168.  
  169. disclosed, or represents that its use would not infringe privately
  170.  
  171. owned rights.  Reference herein to any specific commercial products,
  172.  
  173. process, or service by trade name, trademark manufacturer, or
  174.  
  175. otherwise, does not necessarily constitute or imply its endorsement,
  176.  
  177. recommendation, or favoring by the United States Government or the
  178.  
  179. University of California.  The views and opinions of authors expressed
  180.  
  181. herein do not necessarily state or reflect those of the United States
  182.  
  183. Government nor the University of California, and shall not be used for
  184.  
  185. advertising or product endorsement purposes.
  186.  
  187.  
  188.  
  189. CIAC BULLETINS ISSUED
  190.  
  191.  
  192.  
  193. SUN 386i authentication bypass vulnerability
  194.  
  195. nVIR virus alert
  196.  
  197. /dev/mem vulnerability
  198.  
  199. tftp/rwalld vulnerability
  200.  
  201. "Little Black Box" (Jerusalem) virus alert
  202.  
  203. restore/dump vulnerability
  204.  
  205. rcp/rdist vulnerability
  206.  
  207. Internet trojan horse alert
  208.  
  209. NCSA Telnet vulnerability
  210.  
  211. Columbus Day (DataCrime) virus alert
  212.  
  213. Columbus Day (DataCrime) virus alert (follow-up notice)
  214.  
  215. Internet hacker alert (notice A-1)
  216.  
  217. HEPnet/SPAN network worm alert (notice A-2)
  218.  
  219. HEPnet/SPAN network worm alert (follow-up, notice A-3)
  220.  
  221. HEPnet/SPAN network worm alert (follow-up, notice A-4)
  222.  
  223. rcp vulnerability (second vulnerability, notice A-5)
  224.  
  225. Trojan horse in Norton Utilities (notice A-6)
  226.  
  227. UNICOS vulnerability (limited distribution, notice A-7)
  228.  
  229. UNICOS problem (limited distribution, notice A-8)
  230.  
  231. WDEF virus alert (notice A-9)
  232.  
  233. PC CYBORG (AIDS) trojan horse alert (notice A-10)
  234.  
  235. Problem in the Texas Instruments D3 Process Control System  (notice A-11)
  236.  
  237. DECnet hacker attack alert (notice A-12)
  238.  
  239. Vulnerability in DECODE alias (notice A-13)
  240.  
  241. Additional information on the vulnerability in the UNIX DECODE alias  (notice A-14)
  242.  
  243. Virus information update (notice A-15)
  244.  
  245. Vulnerability in SUN sendmail program (notice A-16)
  246.  
  247. Eradicating WDEF using Disinfectant 1.5 or 1.6 (notice A-17)
  248.  
  249. Notice of availability of patch for SmarTerm 240 (notice A-18)
  250.  
  251. UNIX Internet Attack Advisory (notice A-19)
  252.  
  253. The Twelve Tricks Trojan Horse (notice A-20)
  254.  
  255. Additional information on Current UNIX Internet Attacks (notice A-21)
  256.  
  257. Logon Messages and Hacker/Cracker Attacks (notice A-22)
  258.  
  259. New Internet Attacks (notice A-23)
  260.  
  261. Password Problems with  Unisys U5000 /etc/passwd  (notice A-24)
  262.  
  263. The MDEF or Garfield Virus on Macintosh Computers (notice A-25)
  264.  
  265. A New Macintosh Trojan Horse Threat--STEROID (notice A-26)
  266.  
  267. The Disk Killer (Ogre) Virus on MS DOS Computers (notice A-27)
  268.  
  269. The Stoned (Marijuana or New Zealand) Virus on MS DOS Computers (notice A-28)
  270.  
  271. The 4096 (4k, Stealth, IDF, etc.) Virus on MS DOS Computers (notice A-29)
  272.  
  273. Apollo Domain/OS suid_exec Problem (notice A-30)
  274.  
  275. DECnet (Wollongong) Hacker Activity (notice A-31)
  276.  
  277. SunView/SunTools selection_svc Vulnerability (notice A-32)
  278.  
  279. Virus Propagation in Novell and Other Networks (notice A-33)
  280.  
  281. End of FY90 Update (notice A-34)
  282.  
  283. Security Problems on the NeXT Operating System (notice B-1)
  284.  
  285. Unix Security Problem with Silicon Graphics Mail (notice B-2)
  286.  
  287. Threat to Computers on ESnet (notice B-3)
  288.  
  289. VMS Security Problem with ANALYZE/PROCESS_DUMP (notice B-4)
  290.  
  291. HP-UX Trusted Systems 6.5 or 7.0, Authorization Problem (notice B-5)
  292.  
  293. Additional VMS/DECnet Attacks (notice B-6)
  294.  
  295. BITNET Worm (notice B-7)
  296.  
  297. Detection/Eradication Procedures for VMSCRTL Trojan Horse (notice B-8)
  298.  
  299. Update on Internet Activity (notice B-9)
  300.  
  301. Patch for TOCCON in SunOS 4.1 and 4.1.1 Available (notice B-10)
  302.  
  303. OpenWindows 2.0 selection_svc Vulnerability  (notice B-11)
  304.  
  305. GAME2 MODULE "Worm" on BITNET (notice B-12)
  306.  
  307.  
  308.  
  309.