home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-15 / hsdiag.msg < prev    next >
Encoding:
Text File  |  1993-04-10  |  5.3 KB  |  128 lines
  1.  
  2.                                 HSDIAG.ZIP WARNING!!!
  3.                                 ~~~~~~~~~~~~~~~~~~~~~
  4.                                 
  5. The file HSDIAG.ZIP, masquerading as a high speed modem diagnostic
  6. utility is a Torjan horse.
  7.  
  8. This is a PRELIMINARY report and will be expanded and/or modified
  9. (and probably corrected) in due course.
  10.  
  11. I received HSDIAG from Bob Feldman today, and have not had sufficient 
  12. time to disassemble HSDIAG.EXE completely, but I have done enough to 
  13. determine that the program will overwrite the first 255 sectors on the 
  14. first eight drives on a system!
  15.  
  16. The Trojan begins with the highest number drive and works downward,
  17. finishing with the floppy diskette in Drive A, if such exists.  In
  18. addition to data loss, the system will no longer be bootable from
  19. the hard drive.
  20.  
  21. Error messages are suppressed and once started, the Trojan can NOT
  22. be halted by a Ctrl-C or Ctrl-Break key sequence.  
  23.  
  24. No virus scanner in my arsenal twigs to the Trojan, nor does
  25. F-PROT 2.07 in heuristic mode find anything suspicious.  This is 
  26. not at all surprising, and one shouldn't expect any virus scanner
  27. to provide protection against Trojan programs.
  28.  
  29. However, tired old PROGNOSE warns of possible danger.
  30.  
  31. The following strings can be found in HSDIAG.EXE:
  32.  
  33.      18C:      High Speed Modem Diagnostics      
  34.      1B6:              Version 1.0               
  35.      1E0:         Sound Blaster Support          
  36.      232: )       Written by Bully Bros, Incoporated)
  37.           Please Press [ENTER] To Load Diagnostics,
  38.      287: Please wait ..
  39.      296: ..Loading Done!#Press [ENTER] to Start Diagnostics.
  40.      2CA: Bully Bros.Dallas TX.
  41.      2E0: -Copyrite (C) 1993 Bully Bros. Raj And Asshole
  42.      DF0: #$456789:;<=>?uRuntime error 
  43.      E0E:  at 
  44.  
  45.  
  46. The Trojan archive contents are:
  47.  
  48. Archive:  HSDIAG.ZIP
  49.  
  50. Name          Length    Method     SF   Size now  Mod Date    Time     CRC
  51. ============  ========  ========  ====  ========  =========  ======== ========
  52. HSDIAG.EXE        4864  Deflated   34       3172  08 Mar 93  22:03:58 1C84FC4D
  53. FILE_ID.DIZ        245  Deflated    7        228  17 Mar 93  02:02:50 7CF5CBD2
  54. HSDIAG1.DAT      17264  Deflated   36      11044  27 Nov 92  13:47:34 46B34F7D
  55. HSDIAG2.DAT       7121  Deflated   57       3012  27 Nov 92  13:47:34 7127D2C7
  56. HELP.DAT          4064  Deflated   31       2802  27 Nov 92  13:47:34 6FD0DD60
  57. UART1.DAT         5872  Deflated   39       3542  27 Nov 92  13:47:34 AFB5E3CE
  58. HSDIAG3.DAT       2848  Deflated   50       1404  27 Nov 92  13:47:34 0089171B
  59. ============  ========  ========  ====  ========  =========  ======== ========
  60. *total     7     42278  ZIP 2.0    38%     26706  10 Apr 93  11:23:42 
  61.  
  62. All executables in the archive appear to have been written with
  63. Borland's Turbo Pascal, version 4.0 or higher.  Since I am not a
  64. Pascal programmer, I can't really be certain on this point.
  65.  
  66. I am absolutely certain that all of the .DAT files were taken from 
  67. Joseph Sheppard's ATSEND v.1.8 and have merely been renamed.  The
  68. contents of ATSEND18.ZIP are listed below, and I have done a 
  69. byte-by-byte comparison of the .DAT files from the hack with the
  70. files in ATSEND18.ZIP to verify this.
  71.  
  72. Archive:  ATSEND18.ZIP
  73.  
  74. Name          Length    Method     SF   Size now  Mod Date    Time     CRC
  75. ============  ========  ========  ====  ========  =========  ======== ========
  76. ATSEND.EXE       17264  Imploded   33      11452  27 Nov 92  13:47:34 46B34F7D
  77. ATSEND.DOC        7121  Imploded   55       3142  27 Nov 92  13:47:34 7127D2C7
  78. HEX2DEC.EXE       4064  Imploded   28       2899  27 Nov 92  13:47:34 6FD0DD60
  79. ATBATCH.EXE       5872  Imploded   37       3688  27 Nov 92  13:47:34 AFB5E3CE
  80. FILE_ID.DIZ        332  Imploded    9        302  27 Nov 92  13:49:38 09F0E0D8
  81. ATSEND.NEW        2848  Imploded   44       1589  27 Nov 92  13:47:34 0089171B
  82. ============  ========  ========  ====  ========  =========  ======== ========
  83. *total     6     37501  ZIP 1.10   36%     23708  27 Nov 92  13:49:38 
  84.  
  85.  
  86. I received HSDIAG in ZIP 2.0 format and have no idea whether the
  87. author of the Trojan released it initially in an archive created
  88. with PKZip 1.10 with a forged -AV or not.  Mr. Sheppard uses the
  89. AV feature of PKZip to provide some slight measure of security:
  90.  
  91. PKUNZIP (R)    FAST!    Extract Utility    Version 1.1    03-15-90
  92. Copr. 1989-1990 PKWARE Inc. All Rights Reserved. PKUNZIP/h for help
  93. PKUNZIP Reg. U.S. Pat. and Tm. Off.
  94.  
  95. Searching ZIP: ATSEND18.ZIP
  96. Testing: ATSEND.EXE    OK -AV
  97. Testing: ATSEND.DOC    OK -AV
  98. Testing: HEX2DEC.EXE   OK -AV
  99. Testing: ATBATCH.EXE   OK -AV
  100. Testing: FILE_ID.DIZ   OK -AV
  101. Testing: ATSEND.NEW    OK -AV
  102.  
  103. Authentic files Verified!   # CRI220   Joseph Sheppard
  104.  
  105. The hacked archive, HSDIAG.ZIP contains a FILE_ID.DIZ file:
  106.  
  107. ░▒▓ High Speed Modem Diagnostics ▓▒░
  108. Superb tool for testing and configuring high
  109. speed (9600bps and up) modems.  Reports on
  110. UART, FIFO, S-Registers, and full NVRAM
  111. editor with context sensitve help.  $35
  112. Written by: Norman Shelbert <ASP>
  113.  
  114. This is NOT the FILE_ID.DIZ from Sheppard's ATSEND18.
  115. Don't know who Norman Shelbert may be, but possibly there
  116. is a legitimate high speed modem diagnostic program
  117. written by such a person, and the FILE_ID.DIZ may have
  118. been lifted from that program.
  119.  
  120. If at all possible, I will post further information 
  121. within the next day or two.
  122.  
  123.  
  124. R. Wallace Hale, sysop
  125. Driftnet (506) 325-9002
  126.  
  127. 10 April 1993
  128.