home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud885.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  31.4 KB  |  680 lines
  1.  
  2. Computer underground Digest    Mon  Dec 2, 1996   Volume 8 : Issue 85
  3.                            ISSN  1004-042X
  4.  
  5.        Editor: Jim Thomas (cudigest@sun.soci.niu.edu)
  6.        News Editor: Gordon Meyer (gmeyer@sun.soci.niu.edu)
  7.        Archivist: Brendan Kehoe
  8.        Shadow Master: Stanton McCandlish
  9.        Field Agent Extraordinaire:   David Smith
  10.        Shadow-Archivists: Dan Carosone / Paul Southworth
  11.                           Ralph Sims / Jyrki Kuoppala
  12.                           Ian Dickinson
  13.        Cu Digest Homepage: http://www.soci.niu.edu/~cudigest
  14.  
  15. CONTENTS, #8.85 (Mon, Dec 2, 1996)
  16.  
  17. File 1--Info on 'Microsoft home page virus' HOAX
  18. File 2--In Re Virus Hoaxes
  19. File 3--CIAC Bulletin H-05: Internet Hoaxes
  20. File 4--Cu Digest Header Info (unchanged since 1 Dec, 1996)
  21.  
  22. CuD ADMINISTRATIVE, EDITORIAL, AND SUBSCRIPTION INFORMATION ApPEARS IN
  23. THE CONCLUDING FILE AT THE END OF EACH ISSUE.
  24.  
  25. ---------------------------------------------------------------------
  26.  
  27. Date: 30 Nov 1996 23:48:57 -0000
  28. From: "Mikko H. Hypponen" <Mikko.Hypponen@datafellows.com>
  29. Subject: File 1--Info on 'Microsoft home page virus' HOAX
  30.  
  31. Source - Newsgroups: comp.virus
  32.  
  33. - ----BEGIN PGP SIGNED MESSAGE-----
  34.  
  35. This is a warning on a nasty hoax that has been distributed on several
  36. mailing lists and in usenet news. The hoax message is falsely
  37. attributed to me (Mikko.Hypponen@datafellows.com).
  38.  
  39. This false warning urges people to stay off Microsoft's
  40. home page and not to use Microsoft Internet Explorer,
  41. because the 'Microsoft home page is possibly infected
  42. by a virus'. This is nonsense.
  43.  
  44. If you have seen this warning, please pass on this message,
  45. and please do not redistribute the original warning any more.
  46.  
  47. The origins on this nasty hoax is as of yet unknown.
  48. The original hoax warning is quoted here in full:
  49.  
  50.    ---begin hoax---
  51.  
  52.    Red Alert for anybody using Microsoft's Internet Explorer as
  53.    their web browser.
  54.  
  55.    This came in on the virus forum at the University of Hamburg
  56.    from a fairly reliable source: Mikko H. Hypponen
  57.    (Mikko.Hypponen@datafellows.com) in Finland. (datafellows is
  58.    an anti-virus company)
  59.  
  60.    The first indication that something was amiss was when the computer
  61.    of an MIS professional friend of Mikko's was completely wiped --
  62.    including BIOS and CMOS -- on 11-20-96. It took a great deal of
  63.    arguing with Microsoft until 11-22-96 (logged at 0930 hours) when
  64.    they finally admitted something was wrong and took "their homepage
  65.    into their lab."
  66.  
  67.    Mikko's first report was at 11:13 on 11-22-96. By 13:17 on 11-22-96
  68.    the following message was received:
  69.  
  70.    ---------------------------------------------------------
  71.  
  72.    >       Okay, it's official (last conversation with techs at 1200 hrs,
  73.    >       11-22-96, virus confirmed) Western Digital and Microsoft
  74.    >       confirm that a new virus is on the web and they cannot
  75.    >       isolate it. The only thing they know for sure is that it
  76.    >       completely wipes out a computer. As of this time, they cannot
  77.    >       determine how best to get rid of the thing once it is in your
  78.    >       system.
  79.    >
  80.  
  81.    [irrelevant "in-joke" cut]
  82.  
  83.    >
  84.    >       They are recommending that until they can isolate it (it appears
  85.    >       to be coming from several locations) you just stay off the web.
  86.  
  87.    ---------------------------------------------------------
  88.  
  89.    This sounds like a trojan rather than a virus, but it is extremely
  90.    destructive nonetheless.
  91.  
  92.    Unless you can filter addresses so your webbrowser will not
  93.    go to Microsoft's home page, stay off Microsoft's home page
  94.    until further notice. (As Mikko post updates, I'll forward
  95.    them.)
  96.  
  97.    Incidentally, Mikko and his friend *were* frequent users of Microsoft's
  98.    Web browser.
  99.  
  100.    ---end hoax---
  101.  
  102. Oh, by the way. I prefer Netscape and Lynx...
  103. If you have any questions, contact me directly at
  104. Mikko.Hypponen@datafellows.com.
  105.  
  106.  
  107. - ----BEGIN PGP SIGNATURE-----
  108. Version: 2.6.2i
  109.  
  110. iQCVAwUBMp7jpdn7CX0PJlcJAQFFjQQAkzaqIaAPIH0TKVM+1K2Ampj7yP/MIaKS
  111. cGbWzb2A0EHnloxa5i5ZqYDYq69+Y4TYaDV2CsKz6jGdQJ+niZEs0K6sjNYRxyxV
  112. eO7xk52f3UOvsrKTXsgZM2MffTHV+YuHDDvw+K+qN2FgTlepJzsdGzaVlURi5LnR
  113. gHYqDRZoatY=
  114. =zvx3
  115. - ----END PGP SIGNATURE-----
  116.  
  117. - -
  118.          Mikko Hermanni Hyppvnen - Mikko.Hypponen@DataFellows.com
  119.    Data Fellows Ltd's F-PROT Pro Support: F-PROT-Support@DataFellows.com
  120.  Computer virus information available via web: http://www.DataFellows.com/
  121. Paivantaite 8, 02210 Espoo, Finland. Tel +358-9-478444, Fax +358-9-47844599
  122.  
  123. ------------------------------
  124.  
  125. Date: Mon, 25 Nov 1996 11:31:30 +0000 (GMT)
  126. From: harley@icrf.icnet.uk
  127. Subject: File 2--In Re Virus Hoaxes
  128.  
  129. ((MODERATORS' NOTE: The following provides some useful URLs
  130. for anti-virus/hoax, and other information. The author correctly
  131. notes that the CIAC bulletin might be of interest here, so we're
  132. reprinting it in the next post--jt)).
  133.  
  134.   --------------
  135.  
  136. Since #8.82 was somewhat dominated by Irina, Good Times, and Deeyenda,
  137. it might be worth drawing to the attention of CuD readers the CIAC
  138. bulletin H-05 of November 20th, which includes information on the
  139. Irina, Good Times, and Deeyenda hoaxes, the PKZ300 semi-hoax (dealing
  140. with the warning has wasted more time and money than the few real
  141. instances of this trojan ever did), and the erroneous GHOST.EXE
  142. 'Trojan' alert (it's -just- a screensaver, folks, at least until
  143. someone gets the bright idea of virus-infecting it or trojanizing it).
  144.  
  145. The bulletin also revisits the 2400 baud modem virus hoax and
  146. Robert Morris III's joke alert of 1988, a little of which is
  147. included here for your edification.
  148.  
  149.         Warning: There's a new virus on the loose that's worse than
  150.         anything I've seen before! It gets in through the power line,
  151.         riding on the powerline 60 Hz subcarrier. It works by changing the
  152.         serial port pinouts, and by reversing the direction one's disks
  153.         spin. Over 300,000 systems have been hit by it here in Murphy,
  154.         West Dakota alone! And that's just in the last 12 minutes.
  155.  
  156.         It attacks DOS, Unix, TOPS-20, Apple-II, VMS, MVS, Multics, Mac,
  157.         RSX-11, ITS, TRS-80, and VHS systems.
  158.  
  159. Well, it amuse me, even though some of this stuff has turned
  160. up since in hoax alerts and trolls.
  161.  
  162. In the CIAC bulletin, there's also a pretty sensible
  163. section on how to recognise a likely hoax and ways
  164. to validate an alert (by examining its PGP signature, for
  165. instance. I rather like "When in doubt, do not send it out
  166. to the world.", the suggestion being that the user forwards
  167. it to their sysadmin for validation instead.
  168.  
  169. The URL is:
  170.  
  171.     http://ciac.llnl.gov/ciac/bulletins/h-05.shtml
  172.  
  173. One or two other hoaxes, jokes etc. are addressed in the
  174. alt.comp.virus FAQ at
  175.  
  176.     http://webworlds.co.uk/dharley/
  177.  
  178. Bob Rosenberg's Computer Virus Myths page at
  179.  
  180.     http://www.kumite.com/myths/
  181.  
  182. is a good source of information on some of these issues, too.
  183.  
  184. ------------------------------
  185.  
  186. From: David Crawford <crawford@eek.llnl.gov>
  187. Subject: File 3--CIAC Bulletin H-05: Internet Hoaxes
  188. Date: 25 Nov 1996 03:27:29 -0000
  189.  
  190. - ----BEGIN PGP SIGNED MESSAGE-----
  191.  
  192. Source - Newsgroups: comp.virus
  193.  
  194.              __________________________________________________________
  195.  
  196.                        The U.S. Department of Energy
  197.                     Computer Incident Advisory Capability
  198.                            ___  __ __    _     ___
  199.                           /       |     /_\   /
  200.                           \___  __|__  /   \  \___
  201.              __________________________________________________________
  202.  
  203.                              INFORMATION BULLETIN
  204.  
  205.             Internet Hoaxes: PKZ300, Irina, Good Times, Deeyenda, Ghost
  206.  
  207. November 20, 1996 15:00 GMT                                        Number H-05
  208. ______________________________________________________________________________
  209. PROBLEM:       This bulletin addresses the following hoaxes and erroneous
  210.                warnings: PKZ300 Warning, Irina, Good Times, Deeyenda, and
  211.                Ghost.exe
  212. PLATFORM:      All, via e-mail
  213. DAMAGE:        Time lost reading and responding to the messages
  214. SOLUTION:      Pass unvalidated warnings only to your computer security
  215.                department or incident response team. See below on how to
  216.                recognize validated and unvalidated warnings and hoaxes.
  217. ______________________________________________________________________________
  218. VULNERABILITY  New hoaxes and warnings have appeared on the Internet and old
  219. ASSESSMENT:    hoaxes are still being cirulated.
  220. ______________________________________________________________________________
  221.  
  222.  
  223. Introduction
  224. ============
  225.  
  226. The Internet is constantly being flooded with information about computer
  227. viruses and Trojans. However, interspersed among real virus notices are
  228. computer virus hoaxes. While these hoaxes do not infect systems, they are
  229. still time consuming and costly to handle. At CIAC, we find that we are
  230. spending much more time de-bunking hoaxes than handling real virus incidents.
  231. This advisory addresses the most recent warnings that have appeared on the
  232. Internet and are being circulated throughout world today. We will also address
  233. the history behind virus hoaxes, how to identify a hoax, and what to do if you
  234. think a message is or is not a hoax. Users are requested to please not spread
  235. unconfirmed warnings about viruses and Trojans. If you receive an unvalidated
  236. warning, don't pass it to all your friends, pass it to your computer security
  237. manager to validate first. Validated warnings from the incident response teams
  238. and antivirus vendors have valid return addresses and are usually PGP signed
  239. with the organization's key.
  240.  
  241. PKZ300 Warning
  242. ==============
  243.  
  244. The PKZ300 Trojan is a real Trojan program, but the initial warning about it
  245. was released over a year ago. For information pertaining to PKZ300 Trojan
  246. reference CIAC Notes issue 95-10, that was released in June of 1995.
  247.  
  248. http://ciac.llnl.gov/ciac/notes/Notes10.shtml
  249.  
  250. The warning itself, on the other hand, is gaining urban legend status. There
  251. has been an extremely limited number of sightings of this Trojan and those
  252. appeared over a year ago. Even though the Trojan warning is real, the repeated
  253. circulation of the warning is a nuisance. Individuals who need the current
  254. release of  PKZIP should visit the PKWARE web page at http://www.pkware.com.
  255. CIAC recommends that you DO NOT recirculate the warning about this particular
  256. Trojan.
  257.  
  258. Irina Virus Hoax
  259. ================
  260.  
  261. The "Irina" virus warnings are a hoax. The former head of an electronic
  262. publishing company circulated the warning to create publicity for a new
  263. interactive book by the same name. The publishing company has apologized for
  264. the publicity stunt that backfired and panicked Internet users worldwide. The
  265. original warning claimed to be from a Professor Edward Pridedaux of the
  266. College of Slavic Studies in London; there is no such person or college.
  267. However, London's School of  Slavonic and East European Studies has been
  268. inundated with calls. This poorly thought-out publicity stunt was highly
  269. irresponsible. For more information pertaining to this hoax, reference the
  270. UK Daily Telegraph at http://www.telegraph.co.uk.
  271.  
  272. Good Times Virus Hoax
  273. =====================
  274.  
  275. The "Good Times" virus warnings are a hoax. There is no virus by that name in
  276. existence today. These warnings have been circulating the Internet for years.
  277. The user community must become aware that it is unlikely that a virus can be
  278. constructed to behave in the manner ascribed in the "Good Times" virus
  279. warning. For more information related to this urban legend, reference CIAC
  280. Notes 95-09.
  281.  
  282. http://ciac.llnl.gov/ciac/notes/Notes09.shtml
  283.  
  284. Deeyenda Virus Hoax
  285. ===================
  286.  
  287. The "Deeyenda" virus warnings are a hoax. CIAC has received inqueries
  288. regarding the validity of the Deeyenda virus. The warnings are very similar
  289. to those for Good Times, stating that the FCC issued a warning about it,
  290. and that it is self activating and can destroy the contents of a machine
  291. just by being downloaded. Users should note that the FCC does not and will
  292. not issue virus or Trojan warnings. It is not their job to do so. As of this
  293. date, there are no known viruses with the name Deeyenda in existence. For a
  294. virus to spread, it  must be executed. Reading a mail message does not execute
  295. the mail message. Trojans and viruses have been found as executable attachments
  296. to mail messages, but they must be extracted and executed to do any harm. CIAC
  297. still affirms that reading E-mail, using typical mail agents, can not activate
  298. malicious code delivered in or with the message.
  299.  
  300. Ghost.exe Warning
  301. =================
  302.  
  303. The Ghost.exe program was originally distributed as a free screen saver
  304. containing some advertising information for the author's company (Access
  305. Softek). The program opens a window that shows a Halloween background with
  306. ghosts flying around the screen. On any Friday the 13th, the program window
  307. title changes and the ghosts fly off the window and around the screen. Someone
  308. apparently got worried and sent a message indicating that this might be a
  309. Trojan. The warning grew until the it said that Ghost.exe was a Trojan that
  310. would destroy your hard drive and the developers got a lot of nasty phone
  311. calls (their names and phone numbers were in the About box of the program.)
  312. A simple phone call to the number listed in the program would have stopped
  313. this warning from being sent out. The original ghost.exe program is just cute;
  314. it does not do anything damaging. Note that this does not mean that ghost
  315. could not be infected with a virus that does do damage, so the normal
  316. antivirus procedure of scanning it before running it should be followed.
  317.  
  318. History of Virus Hoaxes
  319. =======================
  320.  
  321. Since 1988, computer virus hoaxes have been circulating the Internet. In
  322. October of that year, according to Ferbrache ("A pathology of Computer
  323. Viruses" Springer, London, 1992) one of the first virus hoaxes was the
  324. 2400 baud modem virus:
  325.  
  326.     SUBJ: Really Nasty Virus
  327.      AREA: GENERAL (1)
  328.  
  329.      I've just discovered probably the world's worst computer virus
  330.      yet. I had just finished a late night session of BBS'ing and file
  331.      treading when I exited Telix 3 and attempted to run pkxarc to
  332.      unarc the software I had downloaded. Next thing I knew my hard
  333.      disk was seeking all over and it was apparently writing random
  334.      sectors. Thank god for strong coffee and a recent backup.
  335.      Everything was back to normal, so I called the BBS again and
  336.      downloaded a file. When I went to use ddir to list the directory,
  337.      my hard disk was getting trashed again. I tried Procomm Plus TD
  338.      and also PC Talk 3. Same results every time. Something was up so I
  339.      hooked up to my test equipment and different modems (I do research
  340.      and development for a local computer telecommunications company
  341.      and have an in-house lab at my disposal). After another hour of
  342.      corrupted hard drives I found what I think is the world's worst
  343.      computer virus yet. The virus distributes itself on the modem sub-
  344.      carrier present in all 2400 baud and up modems. The sub-carrier is
  345.      used for ROM and register debugging purposes only, and otherwise
  346.      serves no othr (sp) purpose. The virus sets a bit pattern in one
  347.      of the internal modem registers, but it seemed to screw up the
  348.      other registers on my USR. A modem that has been "infected" with
  349.      this virus will then transmit the virus to other modems that use a
  350.      subcarrier (I suppose those who use 300 and 1200 baud modems
  351.      should be immune). The virus then attaches itself to all binary
  352.      incoming data and infects the host computer's hard disk. The only
  353.      way to get rid of this virus is to completely reset all the modem
  354.      registers by hand, but I haven't found a way to vaccinate a modem
  355.      against the virus, but there is the possibility of building a
  356.      subcarrier filter. I am calling on a 1200 baud modem to enter this
  357.      message, and have advised the sysops of the two other boards
  358.      (names withheld). I don't know how this virus originated, but I'm
  359.      sure it is the work of someone in the computer telecommunications
  360.      field such as myself. Probably the best thing to do now is to
  361.      stick to 1200 baud until we figure this thing out.
  362.  
  363.     Mike RoChenle
  364.  
  365. This bogus virus description spawned a humorous alert by Robert Morris III :
  366.  
  367.      Date: 11-31-88 (24:60)   Number: 32769
  368.      To: ALL  Refer#: NONE
  369.      --ROBERT MORRIS III    Read: (N/A)
  370.      Subj: VIRUS ALERT Status: PUBLIC MESSAGE
  371.  
  372.      Warning: There's a new virus on the loose that's worse than
  373.      anything I've seen before! It gets in through the power line,
  374.      riding on the powerline 60 Hz subcarrier. It works by changing the
  375.      serial port pinouts, and by reversing the direction one's disks
  376.      spin. Over 300,000 systems have been hit by it here in Murphy,
  377.      West Dakota alone! And that's just in the last 12 minutes.
  378.  
  379.     It attacks DOS, Unix, TOPS-20, Apple-II, VMS, MVS, Multics, Mac,
  380.      RSX-11, ITS, TRS-80, and VHS systems.
  381.  
  382.      To prevent the spresd of the worm:
  383.  
  384.      1) Don't use the powerline.
  385.      2) Don't use batteries either, since there are rumors that this
  386.        virus has invaded most major battery plants and is infecting the
  387.        positive poles of the batteries. (You might try hooking up just
  388.        the negative pole.)
  389.      3) Don't upload or download files.
  390.      4) Don't store files on floppy disks or hard disks.
  391.      5) Don't read messages. Not even this one!
  392.      6) Don't use serial ports, modems, or phone lines.
  393.      7) Don't use keyboards, screens, or printers.
  394.      8) Don't use switches, CPUs, memories, microprocessors, or
  395.        mainframes.
  396.      9) Don't use electric lights, electric or gas heat or
  397.        airconditioning, running water, writing, fire, clothing or the
  398.        wheel.
  399.  
  400.      I'm sure if we are all careful to follow these 9 easy steps, this
  401.      virus can be eradicated, and the precious electronic flui9ds of
  402.      our computers can be kept pure.
  403.  
  404.      ---RTM III
  405.  
  406. Since that time virus hoaxes have flooded the Internet.With thousands of
  407. viruses worldwide, virus paranoia in the community has risen to an extremely
  408. high level. It is this paranoia that fuels virus hoaxes. A good example of
  409. this behavior is the "Good Times" virus hoax which started in 1994 and is
  410. still circulating the Internet today. Instead of spreading from one computer
  411. to another by itself, Good Times relies on people to pass it along.
  412.  
  413. How to Identify a Hoax
  414. ======================
  415.  
  416. There are several methods to identify virus hoaxes, but first consider what
  417. makes a successful hoax on the Internet. There are two known factors that make
  418. a successful virus hoax, they are: (1) technical sounding language, and
  419. (2) credibility by association. If the warning uses the proper technical
  420. jargon, most individuals, including technologically savy individuals, tend to
  421. believe the warning is real. For example, the Good Times hoax says that
  422. "...if the program is not stopped, the computer's processor will be placed in
  423. an nth-complexity infinite binary loop which can severely damage the
  424. processor...". The first time you read this, it sounds like it might be
  425. something real. With a little research, you find that there is no such thing
  426. as an nth-complexity infinite binary loop and that processors are designed
  427. to run loops for weeks at a time without damage.
  428.  
  429. When we say credibility by association we are referring to whom sent the
  430. warning. If the janitor at a large technological organization sends a warning
  431. to someone outside of that organization, people on the outside tend to believe
  432. the warning because the company should know about those things. Even though
  433. the person sending the warning may not have a clue what he is talking about,
  434. the prestigue of the company backs the warning, making it appear real. If a
  435. manager at the company sends the warning, the message is doubly backed by the
  436. company's and the manager's reputations.
  437.  
  438. Individuals should also be especially alert if the warning urges you to pass
  439. it on to your friends. This should raise a red flag that the warning may be
  440. a hoax. Another flag to watch for is when the warning indicates that it is a
  441. Federal Communication Commission (FCC) warning. According to the FCC, they
  442. have not and never will disseminate warnings on viruses. It is not part of
  443. their job.
  444.  
  445. CIAC recommends that you DO NOT circulate virus warnings without first
  446. checking with an authoritative source. Authoritative sources are your computer
  447. system security administrator or a computer incident advisory team. Real
  448. warnings about viruses and other network problems are issued by different
  449. response teams (CIAC, CERT, ASSIST, NASIRC, etc.) and are digitally signed by
  450. the sending team using PGP. If you download a warning from a teams web site or
  451. validate the PGP signature, you can usually be assured that the warning is
  452. real. Warnings without the name of the person sending the original notice, or
  453. warnings with names, addresses and phone numbers that do not actually exist
  454. are probably hoaxes.
  455.  
  456. What to Do When You Receive a Warning
  457. =====================================
  458.  
  459. Upon receiving a warning, you should examine its PGP signature to see that it
  460. is from a real response team or antivirus organization. To do so, you will
  461. need a copy of the PGP software and the public signature of the team that
  462. sent the message. The CIAC signature is available from the CIAC web server
  463. at:
  464.  
  465. http://ciac.llnl.gov
  466.  
  467. If there is no PGP signature, see if the warning includes the name of the
  468. person submitting the original warning. Contact that person to see if he/she
  469. really wrote the warning and if he/she really touched the virus. If he/she is
  470. passing on a rumor or if the address of the person does not exist or if
  471. there is any questions about theauthenticity or the warning, do not circulate
  472. it to others. Instead, send the warning to your computer security manager or
  473. incident response team and let them validate it. When in doubt, do not send
  474. it out to the world. Your computer security managers and the incident response
  475. teams teams have experts who try to stay current on viruses and their warnings.
  476. In addition, most anti-virus companies have a web page containing information
  477. about most known viruses and hoaxes. You can also call or check the web site
  478. of the company that produces the product that is supposed to contain the virus.
  479. Checking the PKWARE site for the current releases of PKZip would stop the
  480. circulation of the warning about PKZ300 since there is no released version 3
  481. of PKZip. Another useful web site is the "Computer Virus Myths home page"
  482. (http://www.kumite.com/myths/) which contains descriptions of several known
  483. hoaxes. In most cases, common sense would eliminate Internet hoaxes.
  484.  
  485. - -----------------------------------------------------------------------------
  486.  
  487. CIAC, the Computer Incident Advisory Capability, is the computer
  488. security incident response team for the U.S. Department of Energy
  489. (DOE) and the emergency backup response team for the National
  490. Institutes of Health (NIH). CIAC is located at the Lawrence Livermore
  491. National Laboratory in Livermore, California. CIAC is also a founding
  492. member of FIRST, the Forum of Incident Response and Security Teams, a
  493. global organization established to foster cooperation and coordination
  494. among computer security teams worldwide.
  495.  
  496. CIAC services are available to DOE, DOE contractors, and the NIH. CIAC
  497. can be contacted at:
  498.     Voice:    +1 510-422-8193
  499.     FAX:      +1 510-423-8002
  500.     STU-III:  +1 510-423-2604
  501.     E-mail:   ciac@llnl.gov
  502.  
  503. For emergencies and off-hour assistance, DOE, DOE contractor sites,
  504. and the NIH may contact CIAC 24-hours a day. During off hours (5PM -
  505. 8AM PST), call the CIAC voice number 510-422-8193 and leave a message,
  506. or call 800-759-7243 (800-SKY-PAGE) to send a Sky Page. CIAC has two
  507. Sky Page PIN numbers, the primary PIN number, 8550070, is for the CIAC
  508. duty person, and the secondary PIN number, 8550074 is for the CIAC
  509. Project Leader.
  510.  
  511. Previous CIAC notices, anti-virus software, and other information are
  512. available from the CIAC Computer Security Archive.
  513.  
  514.    World Wide Web:      http://ciac.llnl.gov/
  515.    Anonymous FTP:       ciac.llnl.gov (128.115.19.53)
  516.    Modem access:        +1 (510) 423-4753 (28.8K baud)
  517.                         +1 (510) 423-3331 (28.8K baud)
  518.  
  519. CIAC has several self-subscribing mailing lists for electronic
  520. publications:
  521. 1. CIAC-BULLETIN for Advisories, highest priority - time critical
  522.    information and Bulletins, important computer security information;
  523. 2. CIAC-NOTES for Notes, a collection of computer security articles;
  524. 3. SPI-ANNOUNCE for official news about Security Profile Inspector
  525.    (SPI) software updates, new features, distribution and
  526.    availability;
  527. 4. SPI-NOTES, for discussion of problems and solutions regarding the
  528.    use of SPI products.
  529.  
  530. Our mailing lists are managed by a public domain software package
  531. called ListProcessor, which ignores E-mail header subject lines. To
  532. subscribe (add yourself) to one of our mailing lists, send the
  533. following request as the E-mail message body, substituting
  534. CIAC-BULLETIN, CIAC-NOTES, SPI-ANNOUNCE or SPI-NOTES for list-name and
  535. valid information for LastName FirstName and PhoneNumber when sending
  536.  
  537. E-mail to       ciac-listproc@llnl.gov:
  538.         subscribe list-name LastName, FirstName PhoneNumber
  539.   e.g., subscribe ciac-notes OHara, Scarlett W. 404-555-1212 x36
  540.  
  541. You will receive an acknowledgment containing address, initial PIN,
  542. and information on how to change either of them, cancel your
  543. subscription, or get help.
  544.  
  545. PLEASE NOTE: Many users outside of the DOE, ESnet, and NIH computing
  546. communities receive CIAC bulletins.  If you are not part of these
  547. communities, please contact your agency's response team to report
  548. incidents. Your agency's team will coordinate with CIAC. The Forum of
  549. Incident Response and Security Teams (FIRST) is a world-wide
  550. organization. A list of FIRST member organizations and their
  551. constituencies can be obtained by sending email to
  552. docserver@first.org with an empty subject line and a message body
  553. containing the line: send first-contacts.
  554.  
  555. This document was prepared as an account of work sponsored by an
  556. agency of the United States Government. Neither the United States
  557. Government nor the University of California nor any of their
  558. employees, makes any warranty, express or implied, or assumes any
  559. legal liability or responsibility for the accuracy, completeness, or
  560. usefulness of any information, apparatus, product, or process
  561. disclosed, or represents that its use would not infringe privately
  562. owned rights. Reference herein to any specific commercial products,
  563. process, or service by trade name, trademark, manufacturer, or
  564. otherwise, does not necessarily constitute or imply its endorsement,
  565. recommendation or favoring by the United States Government or the
  566. University of California. The views and opinions of authors expressed
  567. herein do not necessarily state or reflect those of the United States
  568. Government or the University of California, and shall not be used for
  569. advertising or product endorsement purposes.
  570.  
  571. LAST 10 CIAC BULLETINS ISSUED (Previous bulletins available from CIAC)
  572.  
  573. G-43: Vulnerabilities in Sendmail
  574. G-44: SCO Unix Vulnerability
  575. G-45: Vulnerability in HP VUE
  576. G-46: Vulnerabilities in Transarc DCE and DFS
  577. G-47: Unix FLEXlm Vulnerabilities
  578. G-48: TCP SYN Flooding and IP Spoofing Attacks
  579. H-01: Vulnerabilities in bash
  580. H-02: SUN's TCP SYN Flooding Solutions
  581. H-03: HP-UX_suid_Vulnerabilities
  582. H-04: HP-UX  Ping Vulnerability
  583.  
  584. RECENT CIAC NOTES ISSUED (Previous Notes available from CIAC)
  585.  
  586. Notes 07 - 3/29/95     A comprehensive review of SATAN
  587.  
  588. Notes 08 - 4/4/95      A Courtney update
  589.  
  590. Notes 09 - 4/24/95     More on the "Good Times" virus urban legend
  591.  
  592. Notes 10 - 6/16/95     PKZ300B Trojan, Logdaemon/FreeBSD, vulnerability
  593.                        in S/Key, EBOLA Virus Hoax, and Caibua Virus
  594.  
  595. Notes 11 - 7/31/95     Virus Update, Hats Off to Administrators,
  596.                        America On-Line Virus Scare, SPI 3.2.2 Released,
  597.                        The Die_Hard Virus
  598.  
  599. Notes 12 - 9/12/95     Securely configuring Public Telnet Services, X
  600.                        Windows, beta release of Merlin, Microsoft Word
  601.                        Macro Viruses, Allegations of Inappropriate Data
  602.                        Collection in Win95
  603.  
  604. Notes 96-01 - 3/18/96  Java and JavaScript Vulnerabilities, FIRST
  605.                        Conference Announcement, Security and Web Search
  606.                        Engines, Microsoft Word Macro Virus Update
  607.  
  608. - ----BEGIN PGP SIGNATURE-----
  609. Version: 2.6.1
  610. Comment: Processed by Mailcrypt 3.3, an Emacs/PGP interface
  611.  
  612. iQCVAwUBMpN8qrnzJzdsy3QZAQHpZgP/V+NTN7AwEtWCM46sSBMFnEuz0NxmN9X2
  613. DMOFnATcUSNvukXBPAMc3LMYmnjhp+CrqDyfQCWVBUaHDTmb3yKTTsexYev5alyd
  614. cSR4uZjQrMjO1pu16HG7BS+faxaP+E/FVEcbAof9a+tjX4aj9LTOM/Nt8Hb6Aazo
  615. eRHTBH+AYy4=
  616. =fBQM
  617. - ----END PGP SIGNATURE-----
  618.  
  619. ------------------------------
  620.  
  621. Date: Thu, 21 Mar 1996 22:51:01 CST
  622. From: CuD Moderators <cudigest@sun.soci.niu.edu>
  623. Subject: File 4--Cu Digest Header Info (unchanged since 1 Dec, 1996)
  624.  
  625. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  626. available at no cost electronically.
  627.  
  628. CuD is available as a Usenet newsgroup: comp.society.cu-digest
  629.  
  630. Or, to subscribe, send post with this in the "Subject:: line:
  631.  
  632.      SUBSCRIBE CU-DIGEST
  633. Send the message to:   cu-digest-request@weber.ucsd.edu
  634.  
  635. DO NOT SEND SUBSCRIPTIONS TO THE MODERATORS.
  636.  
  637. The editors may be contacted by voice (815-753-0303), fax (815-753-6302)
  638. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  639. 60115, USA.
  640.  
  641. To UNSUB, send a one-line message:   UNSUB CU-DIGEST
  642. Send it to  CU-DIGEST-REQUEST@WEBER.UCSD.EDU
  643. (NOTE: The address you unsub must correspond to your From: line)
  644.  
  645. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  646. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  647. LAWSIG, and DL1 of TELECOM; on GEnie in the PF*NPC RT
  648. libraries and in the VIRUS/SECURITY library; from America Online in
  649. the PC Telecom forum under "computing newsletters;"
  650. On Delphi in the General Discussion database of the Internet SIG;
  651. on RIPCO BBS (312) 528-5020 (and via Ripco on  internet);
  652. and on Rune Stone BBS (IIRGWHQ) (860)-585-9638.
  653. CuD is also available via Fidonet File Request from
  654. 1:11/70; unlisted nodes and points welcome.
  655.  
  656. EUROPE:  In BELGIUM: Virtual Access BBS:  +32-69-844-019 (ringdown)
  657.          In ITALY: ZERO! BBS: +39-11-6507540
  658.          In LUXEMBOURG: ComNet BBS:  +352-466893
  659.  
  660.   UNITED STATES: etext.archive.umich.edu (192.131.22.8) in /pub/CuD/CuD
  661.                   ftp.eff.org (192.88.144.4) in /pub/Publications/CuD/
  662.                   aql.gatech.edu (128.61.10.53) in /pub/eff/cud/
  663.                   world.std.com in /src/wuarchive/doc/EFF/Publications/CuD/
  664.                   wuarchive.wustl.edu in /doc/EFF/Publications/CuD/
  665.   EUROPE:         nic.funet.fi in pub/doc/CuD/CuD/ (Finland)
  666.                   ftp.warwick.ac.uk in pub/cud/ (United Kingdom)
  667.  
  668.  
  669. The most recent issues of CuD can be obtained from the
  670. Cu Digest WWW site at:
  671.   URL: http://www.soci.niu.edu/~cudigest/
  672.  
  673. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  674. information among computerists and to the presentation and debate of
  675. diverse views.  CuD material may  be reprinted for non-profit as long
  676. as the source is cited. Authors hold a presumptive copyright, and
  677. they should be contacted for reprint permission.  It is assumed that
  678. non-persor..
  679.  
  680.