home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / n_z / nia023.hac < prev    next >
Encoding:
Text File  |  2003-06-11  |  17.7 KB  |  330 lines
  1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
  2.  │   Founded By:    │ ║  Network Information Access   ║ │   Founded By:    │
  3.  │ Guardian Of Time ├─╢            17APR90            ╟─┤   Judge Dredd    │
  4.  └────────┬─────────┘ ║          Judge Dredd          ║ └─────────┬────────┘
  5.           │           ║            File 23            ║           │
  6.           │           ╚═══════════════════════════════╝           │
  7.           │           ╔═══════════════════════════════╗           │
  8.           └───────────╢ Overview on Viruses & Threats ║───────────┘
  9.                       ╚═══════════════════════════════╝
  10.  
  11.   The  term computer  virus is  often  used in  a general  sense to
  12.   indicate any software that can cause harm to systems or networks.
  13.  
  14.   However,  computer viruses are just one example of many different
  15.   but related forms  of software that can act with  great speed and
  16.   power to  cause extensive  damage -other  important examples  are
  17.   Trojan horses  and network  worms.   In this series, I will discuss
  18.   each.  This first file is a basic overview.
  19.  
  20.  
  21. $_Trojan Horses
  22.  
  23.   A Trojan horse1 program is a  useful or apparently useful program
  24.   or command procedure  containing hidden code that,  when invoked,
  25.   performs some unwanted  function.   An author of  a Trojan  horse
  26.   program might first create or gain access to the source code of a
  27.   useful program that  is attractive to  other users, and then  add
  28.   code  so  that the  program  performs  some  harmful function  in
  29.   addition to its  useful function.   A simple example of  a Trojan
  30.   horse  program  might  be  a  calculator  program  that  performs
  31.   functions similar  to that of a  pocket calculator.  When  a user
  32.   invokes the program, it appears to be performing calculations and
  33.   nothing more, however it may also  be quietly deleting the user's
  34.   files, or performing any  number of harmful actions.   An example
  35.   of an even simpler Trojan horse program is one that performs only
  36.   a  harmful  function, such  as a  program  that does  nothing but
  37.   delete files.   However, it may appear to  be a useful program by
  38.   having a name such as CALCULATOR  or something similar to promote
  39.   acceptability.
  40.  
  41.   Trojan  horse  programs  can  be  used  to  accomplish  functions
  42.   indirectly  that  an  unauthorized   user  could  not  accomplish
  43.   directly.  For example, a user  of a multi-user system who wishes
  44.   to gain access to  other users' files could create a Trojan horse
  45.   program to circumvent the users' file  security mechanisms.   The
  46.   Trojan horse program, when run,  changes the invoking user's file
  47.   permissions so  that the files  are readable  by any  user.   The
  48.   author could then induce users to run  this program by placing it
  49.   in a  common directory and naming  it such that users  will think
  50.   the program is a useful utility.  After a user runs  the program,
  51.   the author can then  access the information in the  user's files,
  52.   which  in  this  example  could be  important  work  or  personal
  53.   information.  Affected users may not  notice the changes for long
  54.   periods of time unless they are very observant.
  55.  
  56.   An example of a Trojan horse program that would be very difficult
  57.   to  detect would be  a compiler on  a multi-user system  that has
  58.   been modified to insert additional  code into certain programs as
  59.   they are  compiled, such as a login program.   The code creates a
  60.   trap door in the  login program which permits the  Trojan horse's
  61.   author to log onto the system using a special password.  Whenever
  62.   the  login program is recompiled, the compiler will always insert
  63.   the trap  door code into the program,  thus the Trojan horse code
  64.   can never  be discovered  by reading  the login  program's source
  65.   code.
  66.  
  67.   Trojan horse  programs are introduced  into systems in  two ways:
  68.  
  69.     they are initially  planted, and unsuspecting users copy  and run
  70.     them.  They are planted in software repositories that many people
  71.     can  access,  such  as  on  personal  computer  network  servers,
  72.     publicly-accessible directories in  a multi-user environment, and
  73.     software bulletin boards.  Users are then  essentially duped into
  74.  
  75.     copying  Trojan   horse  programs   to  their   own  systems   or
  76.     directories.   If  a  Trojan  horse  program  performs  a  useful
  77.     function and causes  no immediate or  obvious damage, a user  may
  78.     continue to spread it  by sharing the program with  other friends
  79.     and co-workers.  The  compiler that copies hidden code to a login
  80.     program might  be  an example  of a  deliberately planted  Trojan
  81.     horse that could be  planted by an  authorized user of a  system,
  82.     such as a user assigned to maintain compilers and software tools.
  83.  
  84. $_Computer Viruses
  85.  
  86.   Computer viruses, like  Trojan horses, are programs  that contain
  87.   hidden  code  which  performs  some  usually  unwanted  function.
  88.   Whereas  the  hidden code  in  a  Trojan horse  program  has been
  89.   deliberately placed by the program's author, the hidden code in a
  90.   computer  virus program has  been added by  another program, that
  91.   program itself being  a computer  virus or Trojan  horse.   Thus,
  92.   computer  viruses are  programs that  copy their  hidden code  to
  93.   other programs, thereby infecting them.  Once infected, a program
  94.   may  continue to  infect  even more  programs.   In  due time,  a
  95.   computer could be completely  overrun as the viruses spread  in a
  96.   geometric manner.
  97.  
  98.    An example illustrating  how a computer  virus works might be  an
  99.    operating system  program for  a personal computer,  in which  an
  100.    infected  version of the  operating system  exists on  a diskette
  101.    that contains an attractive game.   For the game to operate,  the
  102.    diskette must be used to boot the computer, regardless of whether
  103.    the  computer  contains a  hard  disk with  its  own copy  of the
  104.    (uninfected)  operating  system program.    When the  computer is
  105.     booted  using the diskette,  the infected program  is loaded into
  106.     memory and  begins to  run.   It immediately  searches for  other
  107.     copies of the operating system program, and finds one on the hard
  108.     disk.  It then copies its hidden code  to the program on the hard
  109.     disk.   This happens so quickly that the  user may not notice the
  110.     slight delay before his game is run.  Later, when the computer is
  111.     booted using the  hard disk,  the newly infected  version of  the
  112.     operating system  will be  loaded into memory.   It will  in turn
  113.     look  for copies  to infect.   However, it  may also  perform any
  114.     number  of  very   destructive  actions,  such  as   deleting  or
  115.     scrambling all the files on the disk.
  116.  
  117.     A  computer virus exhibits  three characteristics:  a replication
  118.     mechanism,  an  activation  mechanism,  and  an objective.    The
  119.     replication mechanism performs the following functions:
  120.  
  121.        -  searches for other programs to infect
  122.  
  123.        -  when it finds  a program, possibly determines  whether
  124.           the program has been previously infected by checking a
  125.           flag
  126.  
  127.        -  inserts  the  hidden  instructions  somewhere  in  the
  128.           program
  129.  
  130.        -  modifies  the  execution  sequence  of  the  program's
  131.           instructions  such  that  the  hidden   code  will  be
  132.           executed whenever the program is invoked
  133.  
  134.        -  possibly creates a  flag to indicate that  the program
  135.           has been infected
  136.  
  137.     The flag may be  necessary because without it, programs  could be
  138.     repeatedly infected and  grow noticeably large.   The replication
  139.     mechanism could  also perform  other functions  to help  disguise
  140.     that the file  has been infected,  such as resetting the  program
  141.     file's modification date to  its previous value, and  storing the
  142.     hidden code within the program so that the program's size remains
  143.     the same.
  144.  
  145.     The activation mechanism checks for the occurrence of some event.
  146.     When the event occurs, the computer virus executes its objective,
  147.     which  is  generally  some  unwanted,  harmful action.    If  the
  148.     activation mechanism checks  for a specific  date or time  before
  149.     executing its objective, it  is said to contain a time  bomb.  If
  150.     it  checks for a certain  action, such as  if an infected program
  151.     has been executed a preset number of times, it is said to contain
  152.     a logic bomb.   There may be  any number of variations,  or there
  153.     may be no activation  mechanism other than the  initial execution
  154.     of the infected program.
  155.  
  156.     As mentioned, the  objective is  usually some unwanted,  possibly
  157.     destructive event.   Previous examples  of computer viruses  have
  158.     varied widely in  their objectives, with some  causing irritating
  159.     but harmless displays  to appear, whereas  others have erased  or
  160.     modified files or  caused system hardware to  behave differently.
  161.     
  162.     Generally, the objective consists of  whatever actions the author
  163.     has designed into the virus.
  164.  
  165.     As with Trojan horse programs, computer viruses can be introduced
  166.     into  systems  deliberately  and  by  unsuspecting  users.    For
  167.     example, a Trojan horse program whose  purpose is to infect other
  168.     programs  could be  planted  on a  software  bulletin board  that
  169.     permits  users  to upload  and download  programs.   When  a user
  170.     downloads the program and then executes it,  the program proceeds
  171.     to infect  other programs in the user's  system.  If the computer
  172.     virus  hides itself well,  the user may continue  to spread it by
  173.     copying the infected  program to other  disks, by backing it  up,
  174.     and  by  sharing it  with other  users.   Other  examples  of how
  175.     computer   viruses  are   introduced  include   situations  where
  176.     authorized users  of systems  deliberately  plant viruses,  often
  177.     with  a time bomb mechanism.   The virus may then activate itself
  178.     at some later point in time, perhaps when the user is  not logged
  179.     onto  the  system  or  perhaps  after   the  user  has  left  the
  180.     organization.
  181.  
  182.  
  183.  
  184.  
  185. $_Network Worms
  186.  
  187.      Network  worm  programs use  network  connections to  spread from
  188.      system  to system,  thus network  worms  attack systems  that are
  189.      linked via communications lines.  Once  active within a system, a
  190.      network worm can behave as a computer  virus, or it could implant
  191.      Trojan  horse programs  or perform  any  number of  disruptive or
  192.      destructive actions.  In a sense, network worms are like computer
  193.      viruses with the ability to infect other systems as well as other
  194.      programs.  Some people use the term virus to include both cases.
  195.  
  196.      To replicate themselves,  network worms use some  sort of network
  197.      vehicle, depending on the type of  network and systems.  Examples
  198.      of network vehicles include (a) a network mail facility, in which
  199.      a  worm can mail  a copy  of itself to  other systems, or  (b), a
  200.      remote execution capability, in  which a worm can execute  a copy
  201.      of itself on  another system, or  (c) a remote login  capability,
  202.      whereby  a worm can log  into a remote system as  a user and then
  203.      use commands to  copy itself from one  system to the other.   The
  204.      new copy of  the network worm is  then run on the  remote system,
  205.      where it may continue to spread to more systems in a like manner.
  206.      Depending on the size of a network, a network worm can  spread to
  207.      many  systems  in a  relatively short  amount  of time,  thus the
  208.      damage it can cause to one system is multiplied by the  number of
  209.      systems to which it can spread.
  210.  
  211.      A network  worm exhibits the  same characteristics as  a computer
  212.      virus: a replication mechanism, possibly an activation mechanism,
  213.      and an objective.   The replication mechanism  generally performs
  214.      the following functions:
  215.  
  216.           -  searches for other systems to infect by examining host
  217.              tables  or  similar  repositories  of  remote   system
  218.              addresses
  219.  
  220.           -  establishes  a   connection  with  a   remote  system,
  221.              possibly by  logging in  as a  user  or using  a  mail
  222.              facility or remote execution capability
  223.  
  224.           -  copies itself to the remote system and causes the copy
  225.              to be run
  226.  
  227.      The network worm may  also attempt to determine whether  a system
  228.      has previously been infected before copying itself to the system.
  229.  
  230.      In a multi-tasking computer, it may also disguise its presence by
  231.      naming  itself as a system process  or using some other name that
  232.      may not be noticed by a system operator.
  233.  
  234.      The activation mechanism might use a  time bomb or logic bomb  or
  235.      any number of variations to activate itself.  Its objective, like
  236.      all  malicious software, is whatever the author has designed into
  237.      it.  Some network worms have been designed  for a useful purpose,
  238.      such as to perform general "house-cleaning" on networked systems,
  239.      or  to  use extra  machine  cycles  on each  networked  system to
  240.     perform  large  amounts  of  computations  not practical  on  one
  241.      system.  A network worm with a harmful objective could perform  a
  242.      wide  range of destructive  functions, such as  deleting files on
  243.      each affected computer, or by implanting Trojan horse programs or
  244.      computer viruses.
  245.  
  246.      Two examples of  actual network  worms are presented  here.   The
  247.      first  involved a Trojan horse program that displayed a Christmas
  248.      tree  and  a message  of  good  cheer (this  happened  during the
  249.      Christmas  season).    When  a user  executed  this  program,  it
  250.      examined   network  information  files  which  listed  the  other
  251.      personal computers that could  receive mail from this user.   The
  252.      program then mailed itself to those  systems.  Users who received
  253.      this message  were  invited to  run  the Christmas  tree  program
  254.      themselves, which they did.   The network worm thus  continued to
  255.      spread to  other systems until  the network was  nearly saturated
  256.      with traffic.   The network  worm did not  cause any  destructive
  257.      action other than disrupting communications and causing a loss in
  258.      productivity.
  259.  
  260.      The second example concerns the  incident whereby a network  worm
  261.      used the collection of  networks known as the Internet  to spread
  262.      itself to several  thousands of computers located  throughout the
  263.      United States.  This worm  spread itself automatically, employing
  264.      somewhat  sophisticated  techniques  for bypassing  the  systems'
  265.      security mechanisms.   The worm's replication  mechanism accessed
  266.      the systems by using one of three methods:
  267.  
  268.           -  it employed  password cracking, in  which it attempted
  269.              to log into systems using  usernames for passwords, as
  270.              well as using words from an on-line dictionary
  271.  
  272.           -  it exploited a  trap door  mechanism in mail  programs
  273.              which  permitted  it  to  send  commands to  a  remote
  274.              system's command interpreter
  275.  
  276.           -  it exploited a  bug in  a network information  program
  277.              which permitted it to access a remote system's command
  278.              interpreter
  279.  
  280.      By using a  combination of  these methods, the  network worm  was
  281.      able to copy itself  to different brands of computers  which used
  282.      similar versions of a widely-used operating  system.  Many system
  283.      managers were  unable to  detect its  presence in their  systems,
  284.      thus  it  spread  very quickly,  affecting  several  thousands of
  285.      computers  within  two  days.    Recovery efforts  were  hampered
  286.      because  many  sites  disconnected from  the  network  to prevent
  287.      further infections,  thus preventing those  sites from  receiving
  288.      network mail that explained how to correct the problems.
  289.  
  290.      It was unclear  what the network worm's objective was,  as it did
  291.      not destroy  information, steal  passwords, or  plant viruses  or
  292.      Trojan horses.  The  potential for destruction was very  high, as
  293.      the  worm  could have  contained  code  to effect  many  forms of
  294.      damage, such as  to destroy all files  on each system.
  295.  
  296.  
  297.  
  298. $_Other Related Software Threats
  299.  
  300.  
  301.      The  number of variations of Trojan horses, computer viruses, and
  302.      network worms is apparently endless.   Some have names, such as a
  303.      rabbit, whose objective is to spread wildly within or among other
  304.      systems  and  disrupt  network  traffic,  or a  bacterium,  whose
  305.      objective is to  replicate within a  system and eat up  processor
  306.      time  until computer  throughput is  halted.   It  is
  307.      likely  that  many new  forms  will  be  created, employing  more
  308.      sophisticated techniques for spreading and causing damage.
  309.  
  310. $_The Threat of Unauthorized Use
  311.  
  312.      In  that computer viruses and related forms of malicious software
  313.      are intriguing  issues  in themselves,  it  is important  not  to
  314.      overlook that they are created by people, and are fundamentally a
  315.      people problem.   In essence, examples of malicious  software are
  316.      tools that  people use  to extend  and enhance  their ability  to
  317.      create mischief and various other forms of damage.  Such software
  318.      can do  things that  the interactive user  often cannot  directly
  319.      effect,  such  as  working  with   great  speed,  or  maintaining
  320.      anonymity,  or  doing  things that  require  programmatic  system
  321.      calls.   But  in general,  malicious  software exploits  the same
  322.      vulnerabilities  as  can knowledgeable  users.   Thus,  any steps
  323.      taken to  reduce the likelihood  of attack by  malicious software
  324.      should address  the likelihood  of unauthorized  use by  computer
  325.      users.
  326.  
  327. -JUDGE DREDD/NIA
  328.  
  329. [OTHER WORLD BBS]
  330.