home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl1 / virusl1.59a < prev    next >
Encoding:
Text File  |  1995-01-03  |  12.7 KB  |  307 lines
  1. VIRUS-L Digest             Thursday, 29 Dec 1988        Volume 1 : Issue 59a
  2.  
  3. Today's Topics:
  4. UUDECODE source available (PC?)
  5. debrain.uue
  6. Virus @ lockheed?
  7. More on the virus...
  8. nVIR 10 - A Correction (Mac)
  9. VIRUS WARNING: DECNET Worm (forwarded from VALERT-L)
  10. Formatting disks (PC)
  11.  
  12. ---------------------------------------------------------------------------
  13.  
  14. Date:         Fri, 23 Dec 88 12:51:53 EDT
  15. From:         Jean <SSAT@PACEVM.BITNET>
  16. Subject:      UUDECODE source available (PC?)
  17. To:           VIRUS-L@LEHIIBM1
  18.  
  19. Well I finally have an answer for those who need UUDECODE to create
  20. the files they request in .UUE format. I just sent the files to Ken and
  21. hope he puts them up on the LISTSERV.
  22.  
  23. I now have a BASIC program with PURE ASCII data statements that creates
  24. UUDECODE.EXE and guess what? It works fine.
  25.  
  26. If you cant wait for Ken to get it on the LISTSERV, send me a short
  27. MAIL request saying you want the UUDECODE PACKAGE and I'll file send it
  28. to you.
  29.  
  30. If you have BITRCV, let me know and I'll Bitsend them which is faster.
  31. If you want BITRCV, let me know as well.
  32.  
  33. ------------------------------
  34.  
  35. Date:         Fri, 23 Dec 88 14:03:09 EDT
  36. From:         SSAT@PACEVM.BITNET
  37. Subject:      debrain.uue
  38. To:           VIRUS-L@LEHIIBM1
  39.  
  40. If anyone has debrain.uue could they please send it to me?
  41.  
  42. We finally got uudecode working properly and now we need debrain.uue
  43.  
  44. Thank you.
  45.  
  46. ------------------------------
  47.  
  48.  
  49. Date: Fri, 23 Dec 88 15:17:39 EST
  50. From: angelo@jvncf.csc.org (Michael F. Angelo)
  51. Subject: Virus @ lockheed?
  52.  
  53. I just got a call from one of my friends, and he said that Lockheed
  54. has pulled itself from the internet, due to a virus / hacker.  Does
  55. anyone out there know anything about this?
  56.  
  57. ps.  It supposedly affected there vms machine?
  58.  
  59. ------------------------------
  60.  
  61. Date:         Fri, 23 Dec 88 15:30:22 EST
  62. From:         Joe McMahon <XRJDM@SCFVM.BITNET>
  63. Subject:      nVIR 10 - A Correction (Mac)
  64.  
  65. I just received a note from Matthias Urlichs, who tells me that nVIR 10
  66. merely DEACTIVATES the nVIR virus, it does not kill it.
  67.  
  68. I suppose it's like a DNA suppressor, rather than an antibody.
  69.  
  70. Sorry if I have caused anyone inconvenience. The nVIR Vaccine program
  71. in the NVIRVACC SITHQX file should still be used to remove nVIR from
  72. applications, and the manual procedure mentioned in the ANTI-VIR
  73. SITHQX stack can be used to clean systems.
  74.  
  75. I have been receiving a LOT of nVIR removal software lately; I haven't
  76. had time to review it yet. I will be doing so and adding the ones I find
  77. best address the problem to our LISTSERV after January 1.
  78.  
  79. Happy holidays, all.
  80.  
  81. - --- Joe M.
  82.  
  83. ------------------------------
  84.  
  85. Date:         Fri, 23 Dec 88 19:54:27 est
  86. Sender: Virus Alert List <VALERT-L@IBM1.CC.Lehigh.Edu>
  87. From: lecgwy!lyons%RUTGERS.EDU@IBM1.CC.Lehigh.Edu
  88. Subject:      VIRUS WARNING: DECNET Worm (forwarded from VALERT-L)
  89.  
  90. The following information relates to the DECNET worm which
  91. hit the HEPNET and infects DEC VMS systems.
  92.  
  93. Note that in addition to the information presented here, the possibility
  94. exists that a non-HEPNET system may have been infected.  You should
  95. check your system for a file by the name of HI.COM, and a process
  96. running with the name MAIL_178DC.  If you find either of them, your
  97. system more than likely has been infected.  Read on for further
  98. background, as well as a more thorough explanation.
  99.  
  100. Thanks to Ed DeHart at CERT, Fred Ostapik at ARPA-NIC, and all others
  101. who helped assemble this information.
  102.  
  103. - ---
  104. Marty Lyons, Lockheed Electronics Company, 1501 U.S. Highway 22,
  105. CS #1, M/S 147, Plainfield, N.J. 07061-1501 (201) 757-1600 x3156
  106. LYONS@LECGWY.LEC.LOCKHEED.COM or LYONS%LECGWY.UUCP@AUSTIN.LOCKHEED.COM
  107.  
  108. Worm-fix distribution list:
  109.   CERT, CMU (cert@sei.cmu.edu)
  110.   John Wagner, Princeton (wagner@pucc.bitnet, wagner@princeton.edu)
  111.   Chris Tengi, Princeton (tengi@deepthought.princeton.edu)
  112.   Nick Cardo, JVNC Supercompuer Center (cardo@jvncc.csc.org)
  113.   Chuck Hedrick, Rutgers (hedrick@rutgers.edu)
  114.   Steve Keeton, NJIT (syssfk@njitx.njit.edu)
  115.   Seldon Ball, Cornell (system@crnlns.bitnet)
  116.   Nick Gimbrone, Cornell (njg@cornella.bitnet)
  117.   Sandi Ivano, Yale (???)
  118.   Anio Khullar, CUNY Graduate Center (ank@cunyvms1.bitnet)
  119.   Shakil Khan, CUNY Queens College (khan@qcvax.bitnet)
  120.   Meredith Coombs, Stevens Tech (???)
  121.   Ken Ng, NJIT (ken@orion.bitnet)
  122.   Dave Capshaw, Lockheed-Austin (capshaw@austin.lockheed.com)
  123.   Marty Lyons, Lockheed Electronics (lyons@lecgwy.lec.lockheed.com)
  124.   Randi Robinson, CUNY (rlrcu@cunyvm.cuny.edu)
  125.   BITNET Laison Distribution List (laison@bitnic.bitnet)
  126.   BITNET Linkfail List (linkfail@bitnic.bitnet)
  127.   BITNET Virus Alert List (valert-l@lehiibm1.bitnet)
  128.   UUCP/Stargate Announcements (announce@stargate.com)
  129.  
  130. > From rutgers!sei.cmu.edu!ecd Fri Dec 23 17:59:18 1988
  131. > Received: from ED.SEI.CMU.EDU by rutgers.edu (5.59/RU-1.2/3.02)
  132. > id AA18876; Fri, 23 Dec 88 17:47:30 EST
  133. > Received: by ed.sei.cmu.edu (5.54/2.3)
  134. > id AA08030; Fri, 23 Dec 88 17:28:48 EST
  135. > Date: Fri, 23 Dec 88 17:28:48 EST
  136. > Message-Id: <8812232228.AA08030@ed.sei.cmu.edu>
  137. > To: lecgwy!lyons, steinauer@ecf.icst.nbs.go
  138. > Subject: Re:  NASA Virus
  139.  
  140. The following information has been provided by one of the VMS experts
  141. on the Internet.  Due to the holidays,  the CERT has not been able to
  142. verify the information.  If you do verify the information please let
  143. us know.
  144.  
  145. Thanks,
  146. Ed DeHart
  147. Software Engineering Institute / Computer Emergency Response Team
  148. cert@sei.cmu.edu
  149. 412-268-7090
  150. =======================================================================
  151.  
  152. There is a worm loose on NASA's SPAN/DoE's HEPNET network, which is an
  153. international DECnet-based network.  The worm targets VMS machines, and
  154. can only be propagated via DECnet.
  155.  
  156. The worm itself appears to be benign, in that it does not destroy files
  157. or compromise the system.  It's purpose appears to be to deliver a
  158. Christmas message to users starting at midnight on 24 Dec 1988.  It
  159. does have a hook in it to monitor it's progress;  it mails a message
  160. back to a specific node (20.117, user PHSOLIDE) containing an identifying
  161. string of the "infected" machine.
  162.  
  163. The worm exploits two features of DECnet/VMS in order to propagate itself.
  164. The first is the default DECnet account, which is a facility for users who
  165. don't have a specific login ID for a machine to have some degree of
  166. anonymous access.  It uses the default DECnet account to copy itself to a
  167. machine, and then uses the "TASK 0" feature of DECnet to invoke the remote
  168. copy.
  169.  
  170. There are several steps which you can take to protect yourself from this
  171. kind of attack.  The easiest (and most restrictive) is to disable the
  172. default DECnet account on your machine altogether.  This can be done with
  173. the following commands from the SYSTEM or other suitably privileged account:
  174.  
  175.         $ Run SYS$SYSTEM:NCP
  176.         Purge Executor Nonprivileged User Account Password
  177.         Clear Executor Nonprivileged User Account Password
  178.         ^Z
  179.  
  180. This requires that everyone who accesses your resources via DECnet to have
  181. a legitimate login ID or proxy login account on your machine (proxy logins
  182. are discussed in detail in chapter 7 of the _Guide to VMS System Security_,
  183. see below).
  184.  
  185. You can take less restrictive steps to protect your machine while still
  186. maintaining some degree of default access.  If you wish to keep the ability
  187. for users to copy files to the default DECnet account but wish to prevent
  188. them from copying DCL command procedures there and then executing them you
  189. can issue the following commands (again from the SYSTEM or other suitably
  190. privileged account):
  191.  
  192.         $ Run SYS$SYSTEM:NCP
  193.         Clear Object Task All
  194.         ^Z
  195.  
  196. You must then edit the file SYS$MANAGER:STARTNET.COM, and add the line
  197.  
  198.         CLEAR OBJECT TASK ALL
  199.  
  200. AFTER the line which says
  201.  
  202.         SET KNOWN OBJECTS ALL
  203.  
  204. This has the side-effect of disabling users from executing any command
  205. procedure via DECnet that the system manager has not defined in the
  206. DECnet permanent database.  These steps alone are not sufficient to
  207. prevent copies of the virus from being copied to your machine;  but they
  208. will prevent it from being executed.  To prevent copies of this specific
  209. virus from being copied to your machine you can issue the following
  210. commands (from the SYSTEM or other privileged account):
  211.  
  212.         $ Set Default your-default-decnet-directory
  213.         $ Create HI.COM
  214.         $ Stop/ID=0
  215.         ^Z
  216.         $ Set File/Owner=[1,4]-
  217.         /Protection=(S:RWED,O:RWED,G:RE,W:RE)/Version=1 HI.COM
  218.  
  219. This prevents anyone from copying a file called "HI.COM" into your default
  220. DECnet account;  however, other files can be copied there unless you disable
  221. access to the DECnet object FAL (the File Access Listener) from your default
  222. DECnet account.  This can be done by creating a specific account for FAL
  223. (using the AUTHORIZE utility) with a seperate UIC, default directory, and
  224. minimal privileges and forcing the FAL object to use that account.  The
  225. following sequence of commands are an example (these commands also require
  226. that they be issued from the SYSTEM or other suitably privileged account):
  227.  
  228.  
  229.         $ Set Default SYS$SYTEM
  230.         $ Run AUTHORIZE
  231.         Add FAL/UIC=[some-unused-UIC]/Owner="DECnet default FAL"-
  232.         /Password=randomstring/Device=disk-device/Directory=[some-directory]-
  233.         /Flags=(DISCTLY,DEFCLI,CAPTIVE,LOCKPWD)/NoBatch/NoLocal/NoDialup-
  234.         /NoRemote/Privileges=(TMPMBX,NETMBX)/DefPrivileges=(TMPMBX,NETMBX)-
  235.         /LGICMD=SYS$SYSTEM:FALLOG.COM
  236.         ^Z
  237.         $ Run NCP
  238.         Define Object FAL Number 17 File SYS$SYSTEM:FAL User FAL -
  239.         Password same-random-string
  240.         Set Object FAL Number 17 File SYS$SYSTEM:FAL User FAL -
  241.         Password same-random-string
  242.         ^Z
  243.         $ Create FALLOG.COM
  244.         $ V := 'F$Verify(0)
  245.         $ Write SYS$OUTPUT ""
  246.         $ Write SYS$OUTPUT "''F$Time()' -- Node ''F$Logical("SYS$NODE")'"
  247.         $ Write SYS$OUTPUT "''F$Time()' -- Remote file access from:"
  248.         $ Write SYS$OUTPUT "''F$Time()' -- User: ''F$logical("SYS$REM_ID")'"
  249.         $ Write SYS$OUTPUT "''F$Time()' -- Node: ''F$Logical("SYS$REM_NODE")'"
  250.         $ Write SYS$OUTPUT ""
  251.         ^Z
  252.  
  253. This sequence of commands separates the FAL account from the default DECnet
  254. account, and you can use file protections to enforce that the FAL account
  255. cannot access files in the default DECnet account and vice-versa.  The
  256. command file FALLOG.COM above will log all remote file accesses in the
  257. file NETSERVER.LOG in the directory specified for the FAL account above.
  258.  
  259. The FAL program can supply additional logging information;  contact your
  260. DIGITAL software support person for further details.
  261.  
  262. Further steps can be taken to restrict access to your system.  These
  263. steps are discussed in detail in the _Guide to VMS System Security_, DEC
  264. order number AA-LA40A-TE, dated April 1988.  See in particular chapter 7,
  265. entitled _Security for a DECnet Node_.
  266.  
  267.  
  268. ------------------------------
  269.  
  270. Date:     SUN DEC 25, 1988 16.55.23 EST
  271. From:     "Prof Arthur I. Larky" <AIL0@LEHIGH.BITNET>
  272. Subject:  Formatting disks (PC)
  273.  
  274. When you format a floppy, you do two things: (1) you create an empty FAT
  275. (File Allocation Table) which indicates that you have not assigned any
  276. portion of the disk to files, and (2) you create the data sectors on
  277. the disk by writing sector numbers, CRC's, etc on every track of the
  278. disk.  Thus the disk is completely clean; unless, of course, your
  279. format program or DOS has been subverted.  You also write a boot
  280. record.  If you have asked for it, the two hidden DOS programs get put
  281. as the first two programs on the disk.
  282.   When you use the same program (Format) to format a hard disk, all
  283. it does is create the empty FAT table, thus everything that was on the
  284. disk is still there, but you have one heck of a problem finding it
  285. unless you are a virus that knows where it is.
  286.   Hard disk owners can get rid of everything by doing a low-level
  287. format (on my Zenith its a program called PREP).  This does the
  288. entire job of putting the sector and track numbers, CRC's, etc. on
  289. the disk and also creates a map of bad sectors (truly bad ones, not
  290. virus-faked bad ones).  Unfortunately, it takes hours (yes, hours) to
  291. do this low level format since the program does repeated checks on
  292. the read/write-ability of the disk.  Some controllers have code in
  293. their ROM at c800:5 that does this low-level formatting; others do
  294. not.  If you use Debug to look at the code, you may be able to figure
  295. out whether its there or not.  Another way to find out is to try it;
  296. however, you better not have anything valuable on the disk in case
  297. it works.
  298. Art Larky
  299. CSEE Dept
  300. Lehigh University
  301.  
  302. ------------------------------
  303.  
  304. End of VIRUS-L Digest
  305. *********************
  306. Downloaded From P-80 International Information Systems 304-744-2253
  307.