home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / virus / Rumors of Worms and Trojan Horses.txt < prev    next >
Text File  |  2001-07-11  |  9KB  |  147 lines
  1.                  RUMORS OF WORMS AND TROJAN HORSES               
  2.          Danger Lurking in the Public Domain
  3.                  introduced and edited by Mike Guffey
  4.  
  5. -INTRODUCTION
  6. There are literally thousands of free (or nearly  free) programs
  7. available in computerdom's Public Domain. Those who use them save
  8. hundreds of dollars and thousands of hours.  But many sneer at the
  9. idea of anything worthwhile being "free".  Thus personal computing
  10. becomes divided into two camps: those who believe there are two
  11. camps and the rest who use  Public  Domain  software (but sport
  12. no sense of moral superiority).   For several years now  rumors 
  13. have  circulated  about  dangerous programs  which,  when  run,  
  14. infest  the  innards  of  personal computers  like  parasites.  
  15. And  unlike  most  software,  these insideous programs don't go
  16. away when the power is shut off.  The story  is  they  invade 
  17. ROMs  and "eat" memory  away  each  time hardware is powered up. 
  18.  The legends have a basis in fact.  For such horrors =do= exist
  19. in the world of mainframes.  Probably first  created  by  a bored
  20. or disgruntled programmer, such programs  have been unleashed
  21. inside some  of  this country's largest computers.  Generally,
  22. they  are not outwardly visible, but begin the  attack  like  a 
  23. low  grade fever.   And these horrible little strings of code  do 
  24. damage  a little at a time, slowly building in intensity.  At
  25. first, things start going slightly awry.   Ultimately,  the 
  26. system  crashes or must  be  shut  down.  One recent magazine
  27. article  called  these creations "computer viruses".  Just =how= 
  28. damaging such programs can be (or have  been)  has  not  been
  29. fully publicized.  But the facts  lie   on  a  razor's  edge 
  30. between  science  fiction  and tomorrow's  headlines.   They are 
  31. believed  to  pose  a  serious potential threat to national
  32. security.   Some say the first of such monsters appeared on
  33. computer bulletin boards  (BBS's)  named  "WORM.COM".  [Remember 
  34. that  it is  only recently that any online descriptions began to
  35. be posted next  to program names.  Some  BBS's, notably CP/M
  36. based systems, still do not offer any explanation beyond the
  37. program name or notes in the associated message base part of the
  38. system.]   And  almost  every computer user  group  has at least
  39. one experienced member who can tell  the  horrible  tales  of 
  40. what  these  programs do.  Actual witnesses to the destruction or
  41. victims of the atrocities seem to be =very= rare.   Related to 
  42. the twisted thinking behind such criminal mischief is the
  43. so-called "TWIT" phenomenon.   Twits are computer vandals who
  44. glory  in  breaking  into  and  "crashing" or seriously  damaging
  45. remote computer  systems.   The  targets  range from neighborhood
  46. BBS's to any large  computers  which  can  be  accessed via phone
  47. lines.  And while such  mental midgets have been glorified in the
  48. media and mis-labeled as  "hackers",  their very existence causes
  49. hysteria in and amongst the non-computing public at large.  
  50. Computer security for  large and small remote computer systems is
  51. getting better at screening out or scaring off "twits". But  they
  52. still exist.  There are indications that some have graduated from
  53. incessant attempts to break into BBS's. Instead  they bring forth
  54. Trojan  horses:  damaging  programs  disguised as  utilities  and
  55. mis-labled  or  misdocumented as  new  treasures  of  the  Public
  56. Domain.
  57.     ==]#[=== The following data was recently retreived from a
  58. California BBS: WARNING! DANGEROUS PROGRAMS 1)  Warning:  Someone
  59. is [or may be] trying to destroy your data.  Beware  of  a  SUDDEN
  60. upsurge of [spurious] programs on Bulletin Boards and in the Public
  61. Domain.  These programs purport to be useful utilities, but, in
  62. reality, are designed to sack your system.  One has shown up as EGABTR,
  63. a program that claims to show you how to maximize the  features  of
  64. IBM'S  Enhanced  Graphics  Adapter.  It  has  also  been  spotted
  65. renamed as  a new super-directory program.  It actually erases
  66. the  (F)ile (A)llocation (T)ables on your hard disk, [thereby
  67. rendering all data useless and inaccessible].  For good measure,
  68. it asks you to put a disk in Drive A:, then another in Drive B:.
  69. After it has erased those FATs too, it displays,                 
  70.      "  Got You! Arf! Arf!  "  Don't [casually] run  any 
  71. public-domain  program  that  is not a known quantity.  Have 
  72. someone  you  know and trust vouch for it.  ALWAYS  examine  it 
  73. FIRST  with  DEBUG  [or  DDT  or  a  similar utility].  Look at
  74. all the ASCII  strings  and data.  If there is anything even
  75. slightly suspicious about it, [either] do a cursory disassembly
  76. [or discard it].   [For  MSDOS  programs]  be wary of disk  calls 
  77. (INTERRUPT  13H),  especially  if the program has no business
  78. writing  to  the  disk.   Run your system in Floppy only mode
  79. with write protect  tabs  on  the  disk or junk disks in the
  80. drives.   Speaking  of  Greeks  bearing  gifts,  Aristotle  said 
  81. that  the unexamined life is not worth living.  The unexamined
  82. program [may not be] worth running.   - from The Editors of PC  
  83. July 23, 1985   Volume 4, Number 15   2) Making the rounds of the
  84. REMOTE BULLETIN BOARDS [is] a program called VDIR.COM. It is  a
  85. little hard to tell what the program is suppose to do.   What it
  86. actually does is TRASH your system.   It  writes  garbage onto 
  87. ANY  disk it can find, including hard disks, and flashes up
  88. various messages telling you what it is doing.  It's a TIME BOMB:
  89. once run, you can't  be  sure  what  will  happen next because it
  90. doesn't always do anything immediately.  At a later time, though,
  91. it  can  CRASH  your system.  Anyway,  you'd  do  well  to  avoid
  92. VDIR.COM. I expect there are a  couple  of harmless, perhaps even
  93. useful, Public Domain programs floating about with the name VDIR;
  94. and,  of course, anyone warped enough to launch this kind of trap
  95. once,  can  do  it  again.   Be  careful  about  untested  "free"
  96. software.   [paraphrased from  Computing at Chaos Manor  From the
  97. living Room  By Jerry Pournelle  BYTE Magazine, The small systems
  98. Journal]   Two other examples of this type of program:  1.
  99. STAR.EXE presents a screen  of  stars  then copies RBBS-PC.DEF
  100. and renames it.  The  caller  then  calls  back later and d/l the
  101. innocently  named file, and he then has the SYSOP'S and  all  the
  102. Users passwords.   2. SECRET.BAS This file was left on an RBBS
  103. with a message saying that the caller got  the file from a
  104. mainframe, and could not get the file to run on his PC, and asked
  105. someone to try it out.  When it was executed, it formatted all
  106. disks on the system.   We must remember, that there are a few 
  107. idiots  out there who get great   pleasure   from   destroying 
  108. other  peoples'  equipment.  Perverted  I know, but we, the
  109. serious computer users, must  take an active part in fighting
  110. against this type of stuff, to protect what we have.  Be sure  to
  111. spread  this [message] to other BBS's across the country so that
  112. as many  people  as  possible  will be aware of what is going on. 
  113.  [from The Flint Board Flint, Mich (313) 736-8031]               
  114.              ===]#[===  -EPILOGUE  Got your attention?  There is
  115. no need  to  hatchet your modem and erase  your communications
  116. software.  While such programs can  do tremendous  damage,  they 
  117.  are,  fortunately,  very  rare.   The following  is  an 
  118. expansion  of  the  countermeasures  suggested above.   A) 
  119. More?  
  120. Never, NEVER, N>E>V>E>R>!  download  and  run  Public  Domain
  121. software (the first time) on a hard disk.   While  many  programs
  122. are  well  known,  it  is  a  logical  presumption  that   Trojan
  123. horse-type  programs may have been uploaded with the  name  of  a
  124. well-known  utility.   Or  as  a  new version of one of your  old
  125. favorites.  Download them to a blank floppy or to a disk you have
  126. a current backup copy of.   B) Get in the habit of examining
  127. unknown  software with HEX/ASCII utilities that will reveal
  128. copyright data, documentation, program error and prompt messages. 
  129.  A  good  choice  in  MSDOS is called PATCH.COM and in CP/M there
  130. is DUMPX.COM. Even  if  a  program is written in protected BASIC,
  131. you may still be able  to  find  some useful data this  way. 
  132. [This is also a way to find documentation for good programs
  133. without .DOC files or descriptions.]   C) Be wary of text files
  134. suggesting  patches  with  DEBUG  or DDT that you do not
  135. understand.  ALWAYS make such modifications to  a backup copy of
  136. your .COM, .EXE, .OVR  files.   There are no known examples of
  137. Trojan horses appearing this way, but...   D) Make those BBS's
  138. which  screen  programs  before  making  them available your
  139. first (but not your only) choice for acquiring new PD software.  
  140. If  you  cannot  figure  out  what a program does, =don't= upload
  141. it to some other BBS.  E)  Be wary but not paranoid.  Be  careful
  142. but not  overcautious.  Do not fan the fires of hysteria by
  143. More?  
  144. passing along rumors of worms and Trojan horses.   Speak  of what
  145. you =know=. There are alot of good programs out there  in the
  146.  
  147.