home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.228

< prev

next >

Wrap

Text File  |  1995-01-03  |  14KB  |  323 lines

---

1.  
2. VIRUS-L Digest   Tuesday, 31 Oct 1989    Volume 2 : Issue 228
3.  
4. VIRUS-L is a moderated, digested mail forum for discussing computer
5. virus issues; comp.virus is a non-digested Usenet counterpart.
6. Discussions are not limited to any one hardware/software platform -
7. diversity is welcomed.  Contributions should be relevant, concise,
8. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
9. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
10. anti-virus, document, and back-issue archives is distributed
11. periodically on the list.  Administrative mail (comments, suggestions,
12. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
13.  - Ken van Wyk
14.  
15. Today's Topics:
16.  
17. Fri 13 virus in Taiwan
18. Checksum programs
19. New Variant of WANK Worm (VAX/DECnet)
20.  
21. [Ed. This VIRUS-L issue is going out early to get the WANK notice out
22. in a reasonably timely manner.]
23.  
24. ---------------------------------------------------------------------------
25.  
26. Date:    Tue, 31 Oct 89 08:02:54 -0500
27. From:    Elliott Parker <3ZLUFUR%CMUVM.BITNET@VMA.CC.CMU.EDU>
28. Subject: Fri 13 virus in Taiwan
29.  
30.      The following is from "The Free China Journal" (19 Oct 89):
31.  
32.      Head:  Phantom Virus Unseen In ROC
33.  
34.      The "Friday the 13th" computer virus that was supposed to wipe
35.      out the world's IBM-compatible computer systems failed to
36.      materialize in Taiwan.
37.  
38.           Mitac, Inc., one of Taiwan's leading computer companies
39.      reportedly discovered some of its personal computers were infected
40.      by the virus, but a spokesman said the virus not the one called
41.      "Friday the 13th."
42.  
43.           No attack was reported in other computer companies, including
44.      Acer Inc., Eten Technology, Kuo Chiao, HP or Digital.  Computer
45.      systems in local banks and securities firms worked well on Oct. 13.
46.  
47.           The post office in Taipei was thrown into panic when it was
48.      discovered none of its computers worked.  But it was determined the
49.      breakdown was caused by the motor of a disk drive.
50.  
51. - ------------------------------------------------------------------------
52. Elliott Parker                   BITNET: 3ZLUFUR@CMUVM
53. Journalism Dept.                 Internet: eparker@well.sf.ca.us
54. Central Michigan University      Compuserve: 70701,520
55. Mt. Pleasant, MI 48859           BIX: eparker
56. USA                              UUCP: {psuvax1}!cmuvm.bitnet!3zlufur
57.  
58. ------------------------------
59.  
60. Date:    Tue, 31 Oct 89 14:47:32 +0200
61. From:    Y. Radai <RADAI1%HBUNOS.BITNET@VMA.CC.CMU.EDU>
62. Subject: Checksum programs
63.  
64.   Bob McCabe writes:
65. >  While working out the algorithm for this check it struck me
66. >that it should be possible to work out a scheme by which any
67. >program could check itself at load time for infection.  ....
68. >Presently, I am working on a system of prime number coding in
69. >which the CRC check of the EXE file is compared with a encoded
70. >CRC. The coding of the CRC would be done with a large prime
71. >number, chosen at random from a table.
72.  
73.   Fine, just be aware that dozens of people have done it before you.
74. (There must be at least 30 such programs for the PC alone.)  But I
75. don't mean to discourage you; some such programs are much better than
76. others.  And if you can think of a better way of doing it, more power
77. to you.
78.   In my opinion, the most important requirements on a checksum program
79. are:
80. (1) For any given file it must yield a different checksum on each com-
81.     puter.
82. (2) Even if the checksum algorithm and checksum length are known,
83.     without knowledge of the key (the generating polynomial in the
84.     case of a CRC algorithm), it should be impossible to modify a file
85.     in such a way that the checksum remains unchanged.
86. (3) It must be able to checksum the boot sector and partition record
87.     (in PC terminology) in addition to arbitrary files.
88. (4) It should check file sizes as well as checksums.
89. (5) It must be convenient to specify and update the list of files to
90.     be checksummed.
91. (6) A naively written checksum program (and most of them are, unfortu-
92.     nately, of this type) will contain loopholes which a clever virus
93.     creator can exploit to introduce a virus despite the checksumming.
94.     The author of the checksum program must therefore try to think of
95.     every such loophole and plug it.
96. (7) It must be reasonably fast.
97.  
98.   While almost every author concerns himself with (7), there are lots
99. of programs (e.g. FSP) which do not satisfy most (or even any) of the
100. other requirements.
101.  
102.   Btw, I'm curious to know what importance you attach to making the
103. number prime.
104.  
105.   John Sangster comments on Bob's posting as follows:
106. >                                         it is fairly well known that
107. >since the CRC process is linear over the binary field (commonly called
108. >"GF(2)" by algebraists), it is little more than a high school algebra
109. >exercise to make your desired changes to the program, then make a few
110. >more bits' worth of additional changes (determined by simple linear
111. >algebra over GF(2)) which restore the CRC bits to their former value so
112. >that they will still perfectly match the bits recovered from the
113. >encrypted CRC -- thus defeating the protection scheme.
114.  
115.   This is a common opinion, but is incorrect in the current context.
116. You can restore the CRC to its former value *only if you know the ge-
117. nerating polynomial*.  But condition (1) above, when implemented with
118. a CRC algorithm, is usually fulfilled by either selecting the genera-
119. tor randomly when the checksum base is initially set up, or by letting
120. the user select it personally.  In this situation, the above tech-
121. nique is useless.
122.  
123.   In the majority of cases, this technique would not work even if the
124. generator were known, since the viral code will increase the size of
125. the file (unless the virus is restricted to infecting particular files
126. having unused space, as in the case of the Lehigh virus).  Since a
127. checksum program should also compare the *sizes* of the files (re-
128. quirement (4) above), the change would be detected.
129.  
130.                                      Y. Radai
131.                                      Hebrew Univ. of Jerusalem, Israel
132.                                      RADAI1@HBUNOS.BITNET
133.  
134. ------------------------------
135.  
136. Date:    Tue, 31 Oct 89 08:56:00 -0500
137. From:    TENCATI@NSSDCA.GSFC.NASA.GOV (SPAN SECURITY MGR. (301)286-5223)
138. Subject: New Variant of WANK Worm (VAX/DECnet)
139.  
140. ============================================================================
141. INTER-NETWORK MEMORANDUM                               SPAN MANAGEMENT OFFICE
142. =============================================================================
143.                                                                   30-OCT-1989
144.  
145. TO:     ALL SPAN SYSTEM MANAGERS
146.  
147. FROM:    SPAN MANAGEMENT OFFICE
148.     GODDARD SPACE FLIGHT CENTER  CODE 630.2
149.     GREENBELT, MD. 20771
150.     (301)286-7251
151.  
152. SUBJ:   SECURITY GUIDELINES TO BE FOLLOWED IN LATEST WORM ATTACK
153.  
154.                             ----------
155.  
156. A variant of the 16-Oct worm has been restarted on the DECnet internet.
157. This worm is a slightly modified copy of the original worm that infected
158. the networks last week.  The method of attack is identical to the last
159. except that this version calls itself OILZ_nnnn instead of NETW_nnnn.
160.  
161. This variant of the worm changes the password of the account it
162. penetrates unlike its predecessor which only changed passwords if it
163. penetrated a privileged account.
164.  
165. The effect of this modification is that if the DECNET account is breached
166. (Userid DECNET, Password DECNET), changing of the password will disable
167. further *INBOUND* network connections to the node, effectively removing it
168. from the network.  THIS IS THE PRIMARY WAY IN WHICH THE CURRENT WORM IS
169. ACHIEVING SUCCESS.
170.  
171. The previous precautions and guidelines issued by this office are still
172. applicable and valid.  The following 5 procedures should be implemented on
173. all DECnet nodes to ensure that the worm cannot gain access to your node.
174.  
175.                             ----------
176.  
177. 1) The current worm has been modified to attack the default DECNET account
178.    first. It attempts to enter the default DECNET account with user=DECNET
179.    and password=DECNET.  This is the default set up.  IT MUST BE CHANGED.
180.    To change it, two things have to be done:
181.  
182.     $MCR AUTHORIZE
183.     UAF> mod DECNET /pass=<something>     !anything BUT "DECNET"
184.     UAF> mod DECNET /flag=lockpwd/nobatch/prclm=0
185.     UAF> exit
186.  
187.    Then, to match default access control information in the executor (so
188.    MAIL and NML will still work):
189.  
190.     $MCR NCP
191.     NCP> set executor nonpriv pass <something> !NOTE this MUST match what
192.                             you set in AUTHORIZE!
193.  
194.    The above changes will not effect operation of your system, but will
195.    prevent the worm from entering via your default DECNET account.
196.  
197. 2)  DISABLE THE TASK OBJECT
198.  
199.     The TASK Object MUST be removed from your DECnet database.
200.     There are two methods by which you can accomplish this:
201.  
202.     1. In SYSTARTUP.COM/SYSTARTUP_V5.COM, after the call to
203.        @SYS$MANAGER:STARTNET, insert the following line:
204.  
205.         $ MCR NCP CLEAR OBJECT TASK ALL
206.  
207.            THIS COMMAND MUST BE EXECUTED *EACH TIME* THE NETWORK
208.        IS STARTED OR RESTARTED.  DOING IT AT BOOT-TIME ALONE
209.            IS NOT SUFFICIENT.
210.  
211.     2. Instead of option 1, the following commands can be issued
212.        ONCE from a privileged account to permanently change the
213.        information in the DECnet database for the TASK object:
214.  
215.        $ MCR NCP SET OBJECT TASK PASSWORD <type an INCORRECT password>
216.        $ MCR NCP DEF OBJECT TASK PASSWORD <type an INCORRECT password>
217.  
218.  
219.       If for some reason you MUST have a TASK object, please call the
220.       SPAN network office at (301)286-7251.
221.  
222.  
223. 3a) Protect SYS$SYSTEM:RIGHTSLIST.DAT so that it is has no protection bits
224.    set for the WORLD category of users. This is how the attacking worm
225.    determines who your valid users are.  There is some discussion about
226.    this approach, it apparently works on 4.7 thru 5.1-1 systems, reports
227.    from systems testing this approach say it breaks under V5.2.  So there
228.    are 2 other approaches, set an ACL on RIGHTSLIST.DAT disabling NETWORK
229.    access, or using a logical name to point to RIGHTSLIST.
230.  
231.                               **NOTE**
232.    THE ACL APPROACH MAY REQUIRE A REBOOT TO PURGE THE OLD RIGHTSLIST.DAT
233.    ON V4.7 SYSTEMS.
234.  
235.  b) Place an ACL on RIGHTSLIST.DAT to prevent network access of your user names
236. .
237.    For V5.X:
238.  
239.    SET ACL SYS$SYSTEM:RIGHTSLIST.DAT /ACL=(IDENTIFIER=NETWORK,ACCESS=NONE)
240.  
241.    Version 4.X systems have a more difficult time of it since the file
242.    locked by other images.  The suggested way of protecting it is from
243.    the SYSTEM account to:
244.  
245.       SET DEFAULT SYS$SYSTEM:
246.       COPY RIGHTSLIST.DAT *.TEMP
247.       SET ACL RIGHTSLIST.TEMP /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
248.       RENAME RIGHTSLIST.TEMP *.DAT
249.  
250.    On completion, make sure that the protection is correct (W:R).
251.  
252.    You should purge the file as soon as possible.  However, you may
253.    not be able to purge until the system has either been rebooted or
254.    OPCOM  has been stopped and restarted.
255.  
256.  c) The logical name approach relies on "hiding" RIGHTSLIST.DAT and defining
257.    a system wide logical name that points to it.  Network access does not
258.    translate this logical name.
259.  
260.    $RENAME SYS$SYSTEM:RIGHTSLIST.DAT any_old_file_you_want.dat
261.  
262.    $DEFINE/SYSTEM/EXEC    RIGHTSLIST any_old_file_you_want.dat
263.  
264.          As long as the logical symbol RIGHTSLIST points to the *real*
265.      file, it doesn't matter what you name it, or where it is.
266.      The worm EXPECTS it to be in SYS$SYSTEM:RIGHTSLIST.DAT.
267.  
268. 4) If possible, verify that none of your users are using their username for
269.    their password.  Chances are that if they were, you'd have a worm
270.    running on your node right now though. The SPAN office has a toolkit
271.    available which contains a program that can be used for this purpose.
272.    Contact NCF::NETMGR for details.
273.  
274. 5) Place an ACL on the default BATCH QUEUE of Version 5.x systems.
275.  
276.    SET ACL SYS$BATCH/OBJECT=QUEUE  /ACL=(IDENTIFIER=NETWORK, ACCESS=NONE)
277.  
278.    ACLS  are not supported on batch queues in Version 4.  It is
279.    suggested remote Batch be disable by inserting the following command as
280.    the first command in SYS$SYSTEM:NETSERVER.COM:, after the label LOOP:
281.  
282.       $ DEFINE SYS$BATCH NO_SUCH_QUEUE
283.  
284.    This will prevent the command from ever getting the correct queue.
285.  
286.                             ----------
287. DEC also recommends that certain SYSGEN parameters be modified in
288. order to thwart an attack technique the worm utilizes. The SPAN
289. management supports these suggested modifications:
290.  
291.     $MCR SYSGEN
292.     USE CURRENT
293.     SET LGI_BRK_TERM 0
294.     SET LGI_BRK_TMO 3600
295.     SET LGI_HID_TIM 86400
296.     WRITE ACTIVE
297.     WRITE CURRENT
298.     EXIT
299.     $
300.  
301. If you have been attacked by this worm, please send the node name/number
302. that the attack came from and if possible, the username of the attacker.
303.  
304. Send this information your local Routing Center Manager and to NCF::NETMGR
305. on SPAN, 6277::NETMGR on HEPnet/Other nodes on the DECnet Internet.
306.  
307. The SPAN Management office also has a new version of ANTI_WANK.COM which can
308. be started in a node's batch queue to search-out and report/destroy worms
309. which may be running on a node.  For copies of this procedure, send mail to
310. NCF::NETMGR.
311.  
312. REMINDER -  The NSI Networking Users Group (Formerly SPAN Data System Users
313.          Working Group - DSUWG) is meeting at Goddard Space Flight Center
314.         on NOV 13-15.  All members of the SPAN community are invited
315.         to attend.  For information, contact Valerie Thomas, SPAN
316.         Project Manager at (301) 286-4740, or send mail to NCF::THOMAS.
317.  
318. ------------------------------
319.  
320. End of VIRUS-L Digest
321. *********************
322. Downloaded From P-80 International Information Systems 304-744-2253
323.