home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.45

< prev

next >

Wrap

Text File  |  1995-01-03  |  17KB  |  341 lines

---

1. VIRUS-L Digest              Monday, 13 Feb 1989         Volume 2 : Issue 45
2.  
3. Today's Topics:
4. Valentine's Day VTxxx DECNET virus
5. re: Alert against Possible VMS Virus/Trojan Horse
6. RE: Valentine's day trojan horse (VIRUS-L V2.n43) (VMS)
7. Re: Vt100 fun
8. Media: a different aspect
9.  
10. ---------------------------------------------------------------------------
11.  
12. Date: Fri, 10 Feb 89 14:55:23 PST
13. From:     PJS%naif.JPL.NASA.GOV@Hamlet.Bitnet
14. Subject: Valentine's Day VTxxx DECNET virus
15.  
16. A warning about this rumored trojan horse was recently distributed
17. here and below is the analysis which I sent back:
18.  
19. - - - - - - - - -
20.  
21. I have to wonder about the validity of this claim.  The "answerback"
22. is a feature of VT100-compatible terminals that can be programmed in
23. SETUP mode and sent by pressing CTRL-BREAK; it can also be triggered
24. by the host with the control character ENQ (05).  The thesis of this
25. claim appears to be that the answerback is reprogrammed with a control
26. sequence, presumably to contain something of the form "^ZDEL
27. *.*;*<CR>" and then an ENQ follows, which causes the terminal to send
28. the answerback, which is interpreted as typed commands by the host, in
29. this case to exit MAIL and delete files.
30.  
31. The problem with this is that I can find no way of setting the
32. answerback with a control sequence.  The VT100 and VT240 programmer's
33. guides, while notoriously poorly-indexed and arranged, are mum on this
34. point.  The Pericom MG400 (VT100-compatible) manual is more explicit;
35. it states that there is *no* way to program the answerback remotely.
36. This makes sense, in that the answerback is intended to be a function
37. of that specific terminal and there would be no reason to want the
38. capability to change it from a remote location.
39.  
40. All control characters can be sent in mail messages, so it is possible
41. to send the ENQ.  For that matter, you can send a ^S and freeze
42. someone's terminal so they have to reset it to get it working again
43. (of course, I have never done anything like that...).  However, I
44. don't think there is any way to change the answerback message from the
45. host and therefore I disbelieve this claim.
46.  
47. It *may* have happened at another site when some malicious user gained
48. access to another person or persons' terminal(s) and reprogrammed
49. their answerbacks to the string I described above *from the keyboard*
50. (which does not require any account access), then sent the message out
51. so that it would be read by users once they were logged in, when the
52. answerback could affect their account just as if they had typed the
53. commands themselves.
54.  
55. Peter Scott (pjs@grouch.jpl.nasa.gov)
56.  
57. ------------------------------
58.  
59. Date: Fri, 10 Feb 89 18:39 EST
60. From: "Jerry Leichter (LEICHTER-JERRY@CS.YALE.EDU)" <LEICHTER@YaleVMS>
61. Subject: re: Alert against Possible VMS Virus/Trojan Horse
62.  
63. I'm including more text than I normally do because of the nature of this
64. message.
65.  
66.    [LT Stuart L Labovitz reports:] I am forwarding the following message,
67.    in full, from the VALERT virus alert mailing list.  I do not know if
68.    this is a valid message, or even if such a trojan could be
69.    constructed, but definitely want to pass the warning along to all the
70.    Info-Vaxers out there.  Please send copies of any comments on this
71.    warning to the original author (address at the end of the message), as
72.    to myself.  I will forward any comments I receive to the Virus-L
73.    mailing list at Lehigh University (VIRUS-L@LEHIIBM1.BITNET, moderator
74.    is Ken Van Wyk, LUKEN@LEHIIBM1.BITNET or LUKEN@SPOT.CC.LEHIGH.EDU).
75.  
76.    ================ORIGINAL MESSAGE FOLLOWS==============================
77.  
78.    The following was posted on our local bulletin board, so we're
79.    definitely getting into third- and fourth-hand information here.  This
80.    is really just a Trojan Horse rather than a virus, but I thought I'd
81.    pass it along.
82.  
83.    ------------------------
84.    Folks,
85.    What I am about to relate was triggered by a second-hand rumor,
86.    but it reflects a very valid security concern and is something that we
87.    may wish to deal with immediately.
88.  
89.    The rumor is that a Valentine's Day message has been prepared
90.    that has the potential for causing lots of personal (and operational)
91.    havoc.  Any user who reads this message, on a VAX system, using a
92.    standard DEC terminal, will have all of his files deleted.  This
93.    little nastygram is rumored to also put a sweet message and heart on
94.    the screen while doing its dirty work.  A nice touch.
95.  
96.    At the risk of being alarmist, I suggest that we immediately
97.    inform our users to be suspicious of any messages of unknown origin.
98.    Information is limited and we do not know if it will appear or how to
99.    recognize it if it does. If I get more information I'll send it along.
100.    -------------------------
101.  
102.    I have a few questions for anyone who knows VTxxx terminals:
103.  
104.    1)  Is it possible to do this on a VT1xx or VT2xx terminal?  I know it
105.            is possible to cause the answerback message to be echoed, but
106.            I don't know of a command to load the answerback message from
107.            the host; it is possible to load a definition into a (shifted)
108.            function key, but that requires the user to press the key;
109.            I know of no command to echo the contents of the screen back
110.            to the host as input.
111.  
112.    2)  If it is possible, is there a setup option that will immunize the
113.            terminal from this particular disease?
114.  
115.    This sort of attack has been known for years, especially on
116.    forms-oriented terminals, but I had believed that my terminal (a
117.    VT220) was not subject to this particular vulnerability.
118.  
119.    Has anyone else heard about this?  Has anyone actually SEEN this
120.    beast?  If you notice it ahead of time, it should be simple to
121.    determine what it does and where it came from (unless it's
122.    self-perpetuating like the XMAS EXEC -- but there's no easy list of
123.    destinations on VAX/VMS).
124.  
125.             Gary Ansok
126.                 <ANSOK@STSCI.BITNET>   or   <ANSOK@SCIVAX.STSCI.EDU>
127.  
128.    P.S.  The lack of a way for this thing to hide its origins from anyone
129.            who is looking for it makes me wonder if it is real.  But I'll
130.            be looking over my incoming mail extra carefully for a few
131.            weeks anyway.  -- Gary
132.  
133.  
134.    =============END OF ORIGINAL MESSAGE==================================
135.  
136. This "rumor" is a wonderful example of a kind of "denial of service"
137. virus.  It infects the "wetware" of susceptible users.  Different
138. forms of this rumor have been floating around for several days now;
139. they've been passed around internally to DEC, for example.
140.  
141. There is NO truth behind this rumor.  What it describes is impossible,
142. for several reasons:
143.  
144.    a)  The VMS MAIL program filters out escape and control sequences
145.            when presenting mail to the user.  Even if there were a
146.            sequence which could cause damage, it can never reach the
147.            terminal as long as you use only READ to look at the message.
148.  
149.            It is theoretically possible, I suppose, that some non-ANSI-
150.            compatible terminals may be triggered by some sequence of
151.            characters that MAIL considers to be "just text", and so might
152.            be vulnerable.  But I doubt it.
153.  
154.    b)  A message COULD suggest that you type EXTRACT TT:, which would
155.            copy the message unfiltered to your terminal.  This trick
156.            is often used to send, say, ReGIS pictures through the mail.
157.            Obviously, this is a deliberate action - you have to be wil-
158.            ling to do it.  Just on general principles, you should NOT do
159.            this with a message from someone you don't know.
160.  
161.            A message could also tell you:  Type EXTRACT FOO.COM, CTRL/Z,
162.            and @FOO.  If you go ahead and do that,  you will create and
163.            execute a command file which could do anything at all.
164.  
165.            Then again, the message COULD tell you "Shoot yourself in the
166.            head".
167.  
168.    c)  No mainline DEC terminal allows you to set the answerback message
169.            from the host; it can be changed only in SETUP.  (And, no, you
170.            can't put the terminal into SETUP from the host.)  I know the
171.            people who designed every DEC terminal since the VT100, and
172.            worked on some of the designs, so I'm 100% certain of this.
173.            I include the "mainline" qualifier only because there are so
174.            many variations, mainly in international markets, which I know
175.            nothing about that I can't make an absolute statement.  But I
176.            would be very surprised if you could do this on ANY DEC ter-
177.            minal.
178.  
179.    d)  UDK's (User Defined Keys) are a slightly different story.  You can
180.            load them from the host but:
181.  
182.            1.  It is impossible for the host to force the terminal to
183.                    send the contents of a UDK - you must deliberately
184.                    type SHIFT with a function key to get the value sent.
185.  
186.            2.  When you load UDK's, you may ask the terminal to "lock"
187.                    them.  Once the UDK's are locked, any further attempts
188.                    load them are ignored.  Nothing the host sends can
189.                    unlock the UDK's - it can be done only from SETUP or
190.                    by power-cycling the terminal.
191.  
192.            If you don't use UDK's, (1) should protect you.  If you DO use
193.            UDK's, (2) can protect you (though you have to make sure you
194.            lock the definitions).
195.  
196.            Again, I can speak only of "mainline" DEC terminals.  One com-
197.            mon request is for the ability to have the UNSHIFTED function
198.            keys send the UDK sequences.  This has never been done in a
199.            mainline DEC terminal; one reason is that it could make a user
200.            who doesn't normally use UDK's, but DOES use the function
201.            keys, vulnerable.  Of course, if the choice of operational
202.            mode could be made only in SETUP, you'd still be safe.
203.  
204.    e)  Several DEC terminals support block mode.  I believe the VT131
205.            and VT132 and the VT330 and VT340 are the only "mainline"
206.            terminals that do so.  It MAY be possible to force such a
207.            terminal to send back data from the screen, in which case an
208.            attack of the nature being discussed here is possible.  I'm
209.            not absolutely certain, and the situation may be different
210.            on the different models.  What it comes down to is this:
211.            There is no defined sequence which tells the terminal to
212.            send data from the screen to the host; rather, such action is,
213.            in the documented cases, always initiated by the user typing
214.            something, usually ENTER.  However, it is possible to operate
215.            these terminals in a mode in which ENTER sends a "data ready
216.            for you" message, and the host then replies with "OK, send
217.            it".  What isn't clear is what happens, in all circumstances,
218.            if the host sends "OK, send it" when the terminal hasn't indi-
219.            cated it has data.  Probably nothing, but I can't guarantee
220.            that.
221.  
222.            In any case, on the VT330 and VT340, there is a SETUP option
223.            which disables block mode, so this becomes a non-issue.
224.  
225.    f)  ReGIS supports ways for the host to do some pretty complex things
226.            on the terminal, and get reports back.  It MAY be possible to
227.            use ReGIS for this kind of attack.  I've never seen a defini-
228.            tive analysis either way.
229.  
230.    g)  The VT220 (and VT320) support neither block mode nor ReGIS, and
231.            as far as I know are not vulnerable to this kind of attack.
232.            (The same goes for most VT100-generation terminals.  Some of
233.            them had firmware bugs which allowed "letter bombs" to disrupt
234.            the terminal, but none of those do anything permanent, or harm
235.            the connected system.)
236.  
237.    h)  The above applies ONLY to DEC terminals.  If you have a "DEC-com-
238.            patible", you have to read its documentation very, very care-
239.            fully to determine if you are safe.  Some compatibles try to
240.            "improve" on the original terminals by adding such "over-
241.            looked" features as escape sequences that let you program the
242.            answerback message from the host, or read arbitrary stuff from
243.            the screen.  Such "improvements" could leave you wide open.
244.  
245.            I have no particular compatibles in mind here - there may not
246.            actually BE any which have made this kind of change.  But to
247.            be safe, you have to be wary.  I'd be ESPECIALLY wary of ter-
248.            minal emulation programs running on PC's - they often have the
249.            opportunity to provide all sorts of nifty, but dangerous,
250.            features which the hardware manufacturers find too expensive
251.            to include.
252.                                                         -- Jerry
253.  
254. ------------------------------
255.  
256. Date:         Fri, 10 Feb 89 19:48:00 EST
257. From:         "Hamid A. Wasti" <ST402288@BROWNVM.BITNET>
258. Subject:      RE: Valentine's day trojan horse (VIRUS-L V2.n43) (VMS)
259.  
260. > Is it possible to do this on a VT1xx or VT2xx terminal?  I know it is
261. > possible to cause the answerback message to be echoed, but I don't
262. > know of a command to load the answerback message from the host; ....
263.  
264. If I recall correctly, there was a discussion about this on the RISKS
265. FORUM a while back (most probably a year or 2 ago).  If my memory
266. serves me correctly, I believe someone claimed that most dumb
267. terminals (not just the VTxxx's) could be made to echo a given message
268. back to the host through undocumented features/bugs.  Perhaps someone
269. who recalls the discussion better or who has easy access to RISKS
270. archives could give us more details.
271.  
272.      -----Hamid A. Wasti
273.           <ST402288@BROWNVM.BITNET>
274.  
275. P.S.  How does one distinguish between an undocumented feature and a
276. bug ?
277.  
278. ------------------------------
279.  
280. Date:         Fri, 10 Feb 89 22:18:54 EST
281. From:         Dan Bornstein <DANFUZZ@BROWNVM.BITNET>
282. Subject:      Re: Vt100 fun
283.  
284. Someone was wondering about the ability to have the VT100 series send
285. info from the screen. Yes, it is indeed possible: In order to type a
286. given character/ string, one positions the cursor on the (previously)
287. printed whateverness, and uses either the send-character or send-line
288. escape sequence. I know this back in my youth (high school), I played
289. around with the school's Tandy 6000 (I take what I can get), a Xenix
290. machine. I used the above trick to issue "cds" that would have lasting
291. effects (after a Xenix script ends, the current directory is reverted)
292. from scripts (to be executed as commands). Admittedly there are better
293. ways, but I didn't know them.  So much for nostalgia.
294.  
295. - -dan
296.  
297. ------------------------------
298.  
299. Date:         Sat, 11 Feb 89 17:38:39 EST
300. From:         Neil Goldman <NG44SPEL@MIAMIU.BITNET>
301. Subject:      Media: a different aspect
302.  
303. I was just paging through "Business Today", a magazine mailed to
304. college students around the country, and stumbled upon the following
305. ad:
306.  
307. Under a picture of a 3M data cartridge it read: "Until There's a Cure
308. For Computer Viruses, Take One Of These And Get Back To Work."  Under
309. that, in smaller type, read: "Today, with the spread of computer
310. viruses and data parasites threatening the health of American
311. business, you have to protect yourself.  If you network, be sure to
312. back up your work routinely on 3M data cartridge tape before a virus
313. enters your systems."  Then it lists an '800' number to call for info.
314.  
315. First, I hope noone thinks I am trying to use Bitnet for commercial
316. use -- I'm not.  I have no affiliation with 3M.
317.  
318. I am all for encouraging users to institute systematic, periodic
319. backup procedures.  However, ads like this compound the user confusion
320. we have (to some extent) been blaming on the media -- that if you
321. perform regular backups you are safe.
322.  
323. It is unfortunate that our counterparts in industry are not assisting
324. in rectifying the (perhaps unsolvable, yet certainly *not*
325. unimprovable) problem.
326.  
327. - - Neil
328.  
329. - ------------------------------------------------------------------------
330. Neil A. Goldman                        NG44SPEL@MIAMIU.BITNET
331.  
332. Replies, Concerns, Disagreements, and Flames expected.
333. Mastercard, Visa, and American Express not accepted.
334. Acknowledge-To: <NG44SPEL@MIAMIU>
335.  
336. ------------------------------
337.  
338. End of VIRUS-L Digest
339. *********************
340. Downloaded From P-80 International Information Systems 304-744-2253
341.