home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / windows_backdoors.txt < prev    next >
Encoding:
Internet Message Format  |  1999-03-24  |  12.3 KB
  1. Date: Fri, 19 Feb 1999 20:02:46 -0500 (EST)
  2. From: X-Force <xforce@iss.net>
  3. To: alert@iss.net
  4. Cc: X-Force <xforce@iss.net>
  5. Subject: ISSalert: ISS Vulnerability Alert: Windows Backdoors Update II
  6.  
  7. TO UNSUBSCRIBE: email "unsubscribe alert" in the body of your message to
  8. majordomo@iss.net  Contact alert-owner@iss.net for help with any problems!
  9. ---------------------------------------------------------------------------
  10.  
  11.  
  12. -----BEGIN PGP SIGNED MESSAGE-----
  13.  
  14. ISS Vulnerability Alert
  15. February 19, 1999
  16.  
  17. Windows Backdoors Update II:
  18. NetBus 2.0 Pro, Caligula, and Picture.exe
  19.  
  20. Synopsis:
  21.  
  22. This advisory is a quarterly update on backdoors for the Windows 9x and
  23. Windows NT operating systems. The focus of this advisory is NetBus 2.0
  24. Pro. The final version of NetBus 2.0 Pro was released on February 19. The
  25. new version of NetBus is not distributed as a backdoor, but as a "Remote
  26. Administration and Spy Tool." Due to the proliferation of NetBus
  27. and its common use in attacks across the Internet, NetBus 2.0 poses a
  28. significant risk with its new functionality and enhanced network
  29. communication obfuscation.  The default installation of NetBus 2.0 Pro
  30. (NB2) does not hide itself from the user, but it does support an
  31. "Invisible Mode" to prevent users of infected machines from noticing the
  32. software. The version of NB2 available on the Internet notifies users upon
  33. installation, however attackers can easily hide the installation with
  34. slight modification.
  35.  
  36. This ISS X-Force Security Alert also includes information about the
  37. Picture.exe trojan and the Caligula macro virus, since the presence
  38. of either of those on your system could lead to a compromise of security
  39. and transmission of sensitive data over the Internet.
  40.  
  41. NetBus 2.0 Pro Description:
  42.  
  43. NB2 includes enhanced functionality, including the ability to find cached
  44. passwords, full control over all windows, capturing video from a video
  45. input device, a scheduler to run scripts on specified hosts at a certain
  46. time, and support for plugins. Plugins will enable programmers at add
  47. functionality to NB2, similar to the architecture provided in the cDc
  48. BackOrifice backdoor.  The only plugin currently available is a
  49. file-finding utility that searches a victim's hard drive for files.
  50.  
  51. By default, NB2 listens on TCP port 20034, but this is easily
  52. configurable. NB2 uses a weak form of encryption to obfuscate its
  53. communications, but the format of its packets makes it easy to spot NB2
  54. traffic. Each packet starts with 'BN', followed by the following sequence:
  55.  
  56. - - - - Two bytes representing the length of the packet.
  57. - - - - Two bytes of 0x02 or 0x00, probably for the version of NetBus.
  58. - - - - Two random bytes, probably to confuse people.
  59. - - - - Two bytes for the command code.
  60.  
  61. For example:
  62.  
  63. 42 4E XX XX 02 00 YY YY ZZ ZZ ...data...
  64.  
  65. XX XX is the length of the whole NetBus 2.0 packet
  66. YY YY are just two random bytes
  67. ZZ ZZ is the command code
  68.  
  69. The first 2 bytes are 'BN', the length of the packet is XX XX, and the
  70. version is 0x02.
  71.  
  72. NB2 stores registry information in the HKEY_CURRENT_USER\NetBus Server
  73. registry key. If you have this key in your registry, NB2 may be running on
  74. your machine. To determine the port that NB2 uses, check the value of
  75. HKEY_CURRENT_USER\NetBus Server\General\TCPPort, and use the 'netstat -an
  76. | find "LISTEN"' command to see if your system is listening on that port.
  77. If NB2 is listening, you need to find the NB2 server executable and delete
  78. it. The default name is NbSvr.exe, but it can be easily renamed.
  79.  
  80. If NetBus 2.0 is configured to start automatically when your computer
  81. boots, the
  82. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  83. registry key will have a registry value called 'NetBus Server Pro' that
  84. specifies the full path for the location of the NetBus executable. Use
  85. the registry key value to locate and delete the file if you find that
  86. NB2 has been installed on your machine without permission.
  87.  
  88. NetBus 2.0 traffic using the default port can be detected by RealSecure if
  89. you configure it to monitor traffic on TCP port 20034.
  90.  
  91. Caligula Description:
  92.  
  93. The WM97/Caligula virus was released by 'Codebreakers', a virus exchange
  94. (Vx) group. This is a Microsoft Word macro virus that steals your Pretty
  95. Good Privacy (PGP) secret key ring and uploads it to a Codebreakers FTP
  96. site. When executed, this virus will open the registry and look for the
  97. HKEY_CLASSES_ROOT\PGP Encrypted File\shell\open\command registry value.
  98. The virus uses this value to find the path to the PGP program. Once it
  99. finds the path to PGP, the virus locates your secret key ring, located in
  100. the secring.skr file. The virus copies this file to a file called
  101. secringXXXX.skr, where each X is an integer from 0 to 7, for example,
  102. secring3150.skr. This file is uploaded to an FTP site at 208.201.88.110,
  103. or ftp.codebreakers.org, and stored in the incoming directory.
  104.  
  105. After Caligula runs, it sets the registry value
  106. HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\Caligula to
  107. 1 (True). You can tell if you have the Caligula virus by looking for that
  108. key in the registry.
  109.  
  110. An infection by Caligula can be detected by RealSecure if you configure
  111. it to look for FTP connections to 208.201.88.110.
  112.  
  113. Picture.exe Description:
  114.  
  115. The Picture.exe trojan horse program has been circulating around the
  116. Internet via an e-mail attachment. If run, this executable will send
  117. information about your Windows NT or 95/98 system to any of several e-mail
  118. addresses in China. The file has also been seen with the name Manager.exe.
  119.  
  120. Executing or opening Picture.exe places a file called note.exe in your
  121. Windows directory. It also adds the line "RUN=NOTE.EXE" to the win.ini
  122. file so note.exe runs every time Windows boots. The first time that
  123. note.exe runs, it creates a file in your Windows directory called
  124. $2321.Dat. This file contains an encoded listing of all of the files whose
  125. three-letter file name extensions begin with an h, i, m, p, s, or t. ISS
  126. X-Force believes it was the author's intent to get files whose extensions
  127. are .idx, .mdb, .pst, .htm, .snm, .pab, and .txt, because those extensions
  128. show up in note.exe. However, note.exe will list any file whose extension
  129. begins with those letters. Earlier reports indicated that note.exe looks
  130. through a user's web cache directories to determine which web sites the
  131. user visited, but this claim is false. Note.exe looks through all
  132. directories trying to gather e-mail addresses.
  133.  
  134. The data in the file created by note.exe is encoded by adding 5 to each
  135. character's ASCII code, for example:
  136.  
  137. C:\Inetpub\iissamples\ISSamples\default.htm
  138.  
  139. becomes:
  140.  
  141. H?aNsjyuzgannxxfruqjxaNXXfruqjxaijkfzqy3myr
  142.  
  143. The second time note.exe runs, it searches all files for e-mail addresses.
  144. When it finds an address, it encodes and writes the address to a file
  145. called $4135.Dat in your Windows directory. The way that this data is
  146. encoded is by subracting 5 from each character's ASCII code, for example:
  147.  
  148. xforce@iss.net
  149.  
  150. becomes:
  151.  
  152. sajm^`;dnn)i`o
  153.  
  154. After note.exe searches all of the files, it overwrites $4135.Dat with
  155. compressed data, where every host name is only listed once. It encodes the
  156. data by subtracting 5 from each character's ASCII code, and ends each line
  157. with ~X or =~X, where X is an integer. The lines that end in ~X are
  158. usernames, and the lines that end in =~X are host names. Once decoded, the
  159. format of the data looks like this:
  160.  
  161. root~1
  162. xforce~1
  163. support~2
  164. iss.net=~1
  165. microsoft.com=~2
  166.  
  167. Each username is matched with the corresponding host name. In this
  168. example, the e-mail addresses are: root@iss.net, xforce@iss.net, and
  169. support@microsoft.com.
  170.  
  171. The third time note.exe runs, it attempts to send the contents of
  172. $4135.Dat to any of several e-mail addresses. The addresses ISS X-Force
  173. have identified are hongfax@public.szonline.net, chinafax@263.net,
  174. hongfax@public.szonline.net, and chinafax1@263.net.
  175.  
  176. The trojan tries to connect to various SMTP servers. ISS X-Force has
  177. identified public2.lyptt.ha.cn, public1.sta.net.cn, nenpub.szptt.net.cn,
  178. mail.capital-online.com.cn, public2.lyptt.ha.cn, public.cc.jl.cn,
  179. pub1.fz.fj.cn, public.szonline.net, and mail.nn.gx.cn. The data is Base64
  180. encoded.
  181.  
  182. A header detected from an e-mail sent by note.exe is as follows:
  183.  
  184. >From: ab<abreb@hotmail.com>
  185. To: hongfax@public.szonline.net
  186. Subject: A manager software from ZDNet_AU
  187. X-Mailer: Microsoft Outlook Express 4.72
  188. Mime-Version: 1.0
  189. Content-Type: multipart/mixed;
  190. boundary="====================545354:56:00.PM===="
  191.  
  192. If sending the e-mail succeeds, note.exe will delete $2321.Dat and
  193. $4135.Dat. If sending fails, it will try again the next time note.exe
  194. runs, and keep trying until it successfully sends the e-mail.
  195.  
  196. Earlier reports also stated that note.exe looks for AOL account
  197. information on your computer, because it reads the MAIN.IDX file in your
  198. AOL directory. ISS X-Force believes that this statement is false. The
  199. program searches the hard drive for .idx files, because it is looking for
  200. e-mail addresses, and Microsoft Outlook uses .idx files for keeping track
  201. of e-mail in your mail folders. On a machine with AOL 4.0 installed,
  202. note.exe does read the MAIN.IDX file in the AOL directory, but the
  203. username and password information is never sent to the e-mail addresses in
  204. China.
  205.  
  206.  
  207. Recommendations:
  208.  
  209. It would be difficult to manually search all of your machines to make
  210. sure no backdoors are running, so the best way to protect yourself is
  211. to not run any untrusted binaries. You should NEVER run any program sent
  212. to you over IRC, ICQ, or any other chat medium, as it is quite easy to
  213. spoof or impersonate even trusted users, and you can never tell if the
  214. person sending you the program is who they claim to be. Don't run any
  215. program sent to you via e-mail unless it is digitally signed. It is
  216. trivial to fake the sender's address, and you don't know who actually sent
  217. the e-mail. Also, be very careful when running programs you download from
  218. the Internet or the World Wide Web. Isolating your machines behind a
  219. firewall will help prevent attackers from connecting to any backdoors
  220. installed on your machine, but it may be possible for them to bypass the
  221. firewall if the backdoor is listening on a port that is left open on the
  222. firewall, for example, the port DNS uses for its operations.
  223.  
  224. If you find yourself infected with the Picture.exe trojan or the Caligula
  225. macro virus, you should run an anti-virus program to get rid of it.
  226.  
  227. For more information:
  228.  
  229. NetBus can be downloaded from http://netbus.nu.
  230.  
  231. ________
  232.  
  233. Copyright (c) 1999 by Internet Security Systems, Inc.  Permission is
  234. hereby granted for the electronic redistribution of this Security Alert.
  235. It is not to be edited in any way without express consent of the X-Force.
  236. If you wish to reprint the whole or any part of this Alert Summary in any
  237. other medium excluding electronic medium, please e-mail xforce@iss.net for
  238. permission.
  239.  
  240. Internet Security Systems, Inc. (ISS) is the leading provider of adaptive
  241. network security monitoring, detection, and response software that
  242. protects the security and integrity of enterprise information systems.  By
  243. dynamically detecting and responding to security vulnerabilities and
  244. threats inherent in open systems, ISS's SAFEsuite family of products
  245. provide protection across the enterprise, including the Internet,
  246. extranets, and internal networks, from attacks, misuse, and security
  247. policy violations.  ISS has delivered its adaptive network security
  248. solutions to organizations worldwide, including firms in the Global 2000,
  249. nine of the ten largest U.S. commercial banks, and over 35 governmental
  250. agencies.  For more information, call ISS at 678-443-6000 or 800-776-2362
  251. or visit the ISS Web site at http://www.iss.net..
  252.  
  253. Disclaimer
  254. The information within this paper may change without notice. Use of this
  255. information constitutes acceptance for use in an AS IS condition. There
  256. are NO warranties with regard to this information. In no event shall the
  257. author be liable for any damages whatsoever arising out of or in
  258. connection with the use or spread of this information. Any use of this
  259. information is at the user's own risk.
  260.  
  261. X-Force PGP Key available at:   http://www.iss.net/xforce/sensitive.html
  262. as well as on MIT's PGP key server and PGP.com's key server.
  263.  
  264. Please send suggestions, updates, and comments to:
  265. X-Force <xforce@iss.net> of Internet Security Systems, Inc.
  266.  
  267. -----BEGIN PGP SIGNATURE-----
  268. Version: 2.6.3a
  269. Charset: noconv
  270.  
  271. iQCVAwUBNs4H8DRfJiV99eG9AQEzLAP/UrxikH1CpUzOr2wKqe3brD60atbvGr0y
  272. TEYTi4oFBKAtlg4cDgRlXWA3UGOqzqvB5lc4eEMv1vgKXG0zmFpaPFMpcLP9dtPd
  273. e/XDQ/ixESG7MhXHltK8MFJPGyDV3Fz1vwjukUhcqlNmnHqCXcnCnOntjV7zG8Eh
  274. dyDGQ1cVA18=
  275. =n9in
  276. -----END PGP SIGNATURE-----
  277.  
  278.