home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / cud2 / cud207b.txt < prev    next >
Text File  |  1992-09-26  |  3KB  |  69 lines

  1. ------------------------------
  2.  
  3. From:     Wes Morgan <morgan@ENGR.UKY.EDU>
  4. Subject:  Re: IBM mainframe trojan repost <CHRISTMA EXEC>
  5. Date:     Mon, 8 Oct 90 10:44:54 EDT
  6.  
  7. ********************************************************************
  8. ***  CuD #2.07: File 2 of 8: From the Mailbag                    ***
  9. ********************************************************************
  10.  
  11. Re: "And a Merry Christmas to All?"
  12. >
  13. >An almost identical version of the IBM Christmas virus that infected
  14. >thousands of computers on IBM's internal mail in December 1987 has
  15. >reportedly been posted on the Bitnet network.
  16.  
  17. In reality, the CHRISTMA EXEC was reposted to *Usenet*, not Bitnet.  While
  18. some Bitnet sites are part of the Usenet, they are by no means one network.
  19. In addition, the original CHRISTMA EXEC incident involved the entire
  20. Bitnet, not just IBM's internal mail system.
  21.  
  22. By the way, it would have been far more accurate to refer to CHRISTMA EXEC
  23. as a trojan, rather than a virus........
  24.  
  25. >The virus puts a tree and
  26. >seasonal greeting message on the screen of infected computers and is known
  27. >to replicate wildly, shutting down computers.
  28.  
  29. Its method of replication is to send copies of itself to every entry in the
  30. user's NAMES files; Unix users can think of NAMES as an alias file.  It
  31. does NOT infect entire systems; it only acts on the virtual machine of the
  32. user who executes it.
  33.  
  34. >No word of any infections,
  35. >however.  Bitnet connects computers at more than 200 universities as well
  36. >as to the Earn network in Europe, the entry point of the original virus.
  37.  
  38. I don't think we'll see much more of this one.  It was posted to a
  39. low-volume newsgroup on Usenet.  A reader of that newsgroup would also
  40. require access to a BITNET site in order to implement the trojan.
  41.  
  42. Note that the file MUST be sent via SENDFILE; the headers placed on
  43. electronic mail render it useless unless someone strips off the headers and
  44. executes it.
  45.  
  46. >IBM was forced to shut down its 350,000-terminal network for nearly three
  47. >days to get rid of the virus.
  48.  
  49. True enough; I strongly suspect that most RSCS handlers now look for and
  50. eliminate any files named CHRISTMA EXEC........8)
  51.  
  52. A word of warning: IBM users should be extremely cautious of *ANY* EXEC
  53. that simply appears in their reader.  I have heard reports of several
  54. variations on this theme; anyone with a good knowledge of CP and CMS can
  55. imagine some nasty possibilities.
  56.  
  57. +++++++
  58.   The opinions expressed above are not those of UKECC unless so noted.
  59. Wes Morgan                 \       {rutgers,rayssd,uunet}!ukma!ukecc!morgan
  60. University of Kentucky      \   or morgan@engr.uky.edu
  61. Engineering Computing Center \  or morgan%engr.uky.edu@UKCC.BITNET
  62.  
  63. ********************************************************************
  64.                            >> END OF THIS FILE <<
  65. ***************************************************************************
  66.  
  67.  
  68. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  69.