home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / promail_1_21_trojan.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  6.8 KB
  1. Date: Fri, 19 Mar 1999 09:41:18 +0100
  2. From: Aeon Labs <aeon@army.net>
  3. To: packetstorm@genocide2600.com
  4. Subject: security/privacy news
  5.  
  6. (Perhaps this might be of interest to Your readers.)
  7.  
  8. ProMail v1.21, an advanced freeware mail program spread through several
  9. worldwide distribution networks (SimTel.net, Shareware.com and others),
  10. is a trojan.
  11. Upon discovering - through LAN sniffing - that the program would attempt
  12. to connect to SMTP instead of POP3 when a regular mail check was performed, 
  13. we reverse-engineered the software.
  14. ALL of the personal user data, including the user's password in encrypted
  15. format, is sent to an account on NetAddress - a free email provider -
  16. as soon as a valid internet connection is detected.
  17. Apart from this "feature", the software is 100 % functional and very
  18. well done.
  19. Well, it seems that 1999 is the worst year for privacy...
  20.  
  21. More detailed information can be found on our web site at
  22. http://cool.icestorm.net/aeon/news.html
  23.  
  24.  
  25.   ---------------------------------------------------------------------
  26.   Aeon Labs
  27.   http://cool.icestorm.net/aeon
  28.  
  29. [http://cool.icestorm.net/aeon/news.html]
  30.  
  31. 03.99]
  32.  
  33. ProMail v1.21, an advanced freeware mail program for Windows 95/98, is a trojan.
  34. It has been spread through several worldwide distribution networks (SimTel.net, 
  35. Shareware.com and others) as proml121.zip.
  36.  
  37. Upon discovering - through LAN sniffing - that the program would attempt to 
  38. connect to SMTP instead of POP3 when a regular mail check was performed, we 
  39. reverse-engineered the software.
  40.  
  41. The executable, which appears to have been created with Borland Delphi, has been 
  42. packed with Petite (a shareware Win32-EXE compressor) and then "hexed" to make 
  43. disassembly harder.
  44.  
  45. ProMail v1.21 supports multiple mailboxes; every time a new mailbox is created, 
  46. an "ini" file containing the users full name, passwords, email addresses, 
  47. servers and more is generated.
  48.  
  49. Prior to doing any other action, the program performs a check for a valid 
  50. network connection which, if found, allows for the sending of ALL of the
  51. personal user data, including the user's password in encrypted format, to an 
  52. account on NetAddress - a free email provider.
  53.  
  54. Apart from this "feature", the software is 100 % functional and very well done.
  55.  
  56. For further information or a more detailed analysis contact us. <aeon@army.net>
  57.  
  58. ---------------------------------------------------------------------------------
  59.  
  60. Date: Sat, 20 Mar 1999 03:51:00 -0500 (EST)
  61. From: aeon@army.net
  62. To: packetstorm@genocide2600.com
  63. Subject: Re: your mail
  64.  
  65. currently our members have disassembled and analyzed the whole executable.
  66. the only thing it appears to do as a trojan is to send the accounts data
  67. entered by the user: full name, organization, email address, user name,
  68. password (encrypted), smtp and pop3 servers, etc.
  69. and since promail supports multiple accounts, each newly created account
  70. is sent.
  71. the data for each account is contained in a text file which is used to
  72. initialize promail at run-time.  the same text file is used as body of
  73. the email which is sent to the author (supposedly) of the program.
  74. it appears that all emails are sent with same subject line: "kirio".
  75.  
  76. the program also creates the file promail.pml in its directory.  it's a
  77. zero length file used as permanent flag to "remember" to the trojan that
  78. one or more accounts data could not be sent in the last session (for
  79. example, when accounts are created off-line, or when not followed by a
  80. mail check in the same session).
  81.  
  82. we also managed to crack the mailbox to which accounts data is sent.
  83. about ~80 emails (== accounts) were found and another dozen was
  84. received after only ten minutes or so.
  85. accounts for microsoft, michigan us army, old bridge chemicals and a
  86. videogames company - amongst the others - were found.
  87.  
  88. we have merely informed a _contact_ (not the ml) in ntbugtraq and
  89. several "underground" news/security sites.
  90. well you can contact the various *traq mailing lists if you want.  we
  91. don't care if people still trust anything that can be downloaded from
  92. the net anyway.  i guess we're not exactly "white hat" hackers :P
  93.  
  94. if you need any help or further analysis on a specific part of the program
  95. please feel free to contact us.
  96.  
  97.  
  98.   ------------------------------------------------------------------------
  99.   Aeon Labs <aeon@army.net>
  100.   http://cool.icestorm.net/aeon
  101.  
  102. ---------------------------------------------------------------------------------
  103.  
  104. Date: Sun, 21 Mar 1999 09:40:26 +0100
  105. From: Patrick Oonk <patrick@pine.nl>
  106. To: tattooman@ADRIC.GENOCIDE2600.COM
  107. Subject: [patrick@pine.nl: ProMail trojan proof]
  108.  
  109. ----- Forwarded message from Patrick Oonk <patrick@pine.nl> -----
  110.  
  111. Hi,
  112.  
  113. I've tested the ProMail Trojan, it sends the info
  114. to naggamanteh@usa.net using the smtp server you 
  115. supply when creating an account.
  116.  
  117. I'll Cc: abuse@usa.net and bugs@shareware.com
  118.  
  119. ProMail can still be downloaded at many sites,
  120. just check
  121. http://search.shareware.com/code/engine/File?archive=sim-win95&file=email%2fproml121%2ezip&size=409141
  122.  
  123. These are the queue files at my smtp server after
  124. I installed ProMail and created an account:
  125.  
  126. $ more /var/spool/mqueue/qfPAA17183
  127. V2
  128. T921939650
  129. K921939657
  130. N1
  131. P30435
  132. I6/0/88205
  133. M<naggamanteh@usa.net>... reply: read error from office.pine.nl.
  134. Fb
  135. $rSMTP
  136. $sfoo
  137. $_foo.domain.com [10.0.0.1]
  138. S<patrick@pine.nl>
  139. RPFD:<naggamanteh@usa.net>
  140. H?P?Return-Path: <patrick@pine.nl>
  141. HReceived: from foo (foo.domain.com [10.0.0.1])
  142.         by bar.domain.com (8.9.1/8.9.1) with SMTP id PAA17183
  143.         for <naggamanteh@usa.net>; Sat, 20 Mar 1999 15:20:50 +0100 (MET)
  144. H?D?Date: Sat, 20 Mar 1999 15:20:50 +0100 (MET)
  145. H?F?From: patrick@pine.nl
  146. H?M?Message-Id: <199903201420.PAA17183@bar.domain.com>
  147. HTo: naggamanteh@usa.net
  148. HSubject: kirio
  149.  
  150. $ more /var/spool/mqueue/dfPAA17183
  151. Name=New Account
  152.  
  153. [From]
  154. EMail=patrick@pine.nl
  155. Name=Patrick Oonk
  156. Organization=Pine Internet B.V.
  157.  
  158. [ReplyTo]
  159. EMail=patrick@pine.nl
  160. Name=Patrick Oonk
  161.  
  162. [POP3]
  163. Server=pop.domain.com
  164. Port=110
  165. User=patrick
  166. Password=1hFATUIxWOkJ3b3N3chBXZrFmZMUE
  167. PromptPassword=0
  168. DoPOP=1
  169. StandardDownload=0
  170.  
  171. [SMTP]
  172. Server=smtp.domain.com
  173. Port=25
  174. DoSMTP=1
  175.  
  176. [Filter]
  177. Keep=
  178. Delete=
  179. -- 
  180. : Patrick Oonk -    http://patrick.mypage.org/  - patrick@pine.nl :
  181. : Pine Internet B.V.           Consultancy, installatie en beheer :
  182. : Tel: +31-70-3111010 - Fax: +31-70-3111011 - http://www.pine.nl/ :
  183. : -- Pine Security Digest - http://security.pine.nl/ (Dutch) ---- :
  184. : "unix is voor types zonder sociaal leven..." - Patrick van Eijk :
  185.  
  186.  
  187. ----- End forwarded message -----
  188.  
  189. -- 
  190. : Patrick Oonk -    http://patrick.mypage.org/  - patrick@pine.nl :
  191. : Pine Internet B.V.           Consultancy, installatie en beheer :
  192. : Tel: +31-70-3111010 - Fax: +31-70-3111011 - http://www.pine.nl/ :
  193. : -- Pine Security Digest - http://security.pine.nl/ (Dutch) ---- :
  194. : "unix is voor types zonder sociaal leven..." - Patrick van Eijk :
  195. : A signature starts with "-- <enter>".                           :
  196.  
  197.