home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / virus / 4767 < prev    next >
Encoding:
Internet Message Format  |  1992-12-22  |  3.3 KB
  1. Path: sparky!uunet!zaphod.mps.ohio-state.edu!swrinde!gatech!destroyer!gumby!yale!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: rslade@sfu.ca
  3. Newsgroups: comp.virus
  4. Subject: CHRISTMA EXEC wrap-up (CVP)
  5. Message-ID: <0020.9212212018.AA02123@barnabas.cert.org>
  6. Date: 18 Dec 92 21:13:06 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 57
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. HISVIRN.CVP   921022
  12.  
  13.                            CHRISTMA EXEC
  14.  
  15. During the summer of 1988 there was considerable confusion regarding
  16. the CHRISTMA EXEC.  This was "early days" for the virus field as a
  17. whole, of course, and so there were the usual media reports
  18. confusing microcomputers and mainframes, talking on the one hand
  19. about international networks and on the other about disks being
  20. erased.  One story describes the symptoms of the CHRISTMA EXEC while
  21. at the same time talking about computerized medical systems being
  22. sabotaged.  There was also a rumour among Mac users that CHRISTMA
  23. was a Mac virus.  (I mean, it had to be IBM, right?  Who else uses
  24. eight character filenames?  :-)
  25.  
  26. The author of the CHRISTMA EXEC was fairly quickly traced back to a
  27. university computer in Germany.  The culprit's account was lifted. 
  28. The NETLOG file that the EXEC used to obtain account and system
  29. names is a transaction file that lists all mail sent and received. 
  30. Therefore, while the file could be suppressed by some users, in most
  31. cases an entry would show where the message had come from, and
  32. confirm where it had been sent to.  Backtracking the infestation was
  33. therefore relatively easy, even though the author had left no clues
  34. in the program, and eventually the paths converged.  (This was a
  35. good thing: this particular type of mail system does not carry the
  36. same amount of header and "received from" information that others
  37. may be used to.)
  38.  
  39. In fact, the author had not intended to cause any problems: he had
  40. thought to send the greetings to his friends.  A second student used
  41. the EXEC created by the first, with some slight modifications, and
  42. didn't realize the havoc he was about to cause.  Fortunately, his
  43. lack of programming expertise showed up in other areas: the
  44. "parsing" of account info from the NETLOG file was faulty, and
  45. reduced the traffic to only five percent of what it could have been.
  46.  
  47. Also, some copies never did get to reproduce, because they ended up
  48. on incompatible systems.  One VMS user received six copies of
  49. CHRISTMA.  Obviously, he never sent any on.
  50.  
  51. One of the frequently asked questions in the virus world is "has
  52. there ever been a virus in a mainframe and can I can a scanner for
  53. mine?"  CHRISTMA and the Morris worm are often used as examples of
  54. viral programs on mainframes and networks (with the obligatory "it's
  55. not a virus, it's a worm" pedantry), but the answer about scanners
  56. is always "no".  This is not correct.  All major Bitnet backbone or
  57. "core" sites run a "selective file filter" to catch any of the known
  58. variants of CHRISTMA EXEC ... a scanner by any other name ...
  59.  
  60. copyright Robert M. Slade, 1992   HISVIRN.CVP   921022
  61.  
  62. ==============
  63. Vancouver      ROBERTS@decus.ca         | "My son, beware ... of the
  64. Institute for  Robert_Slade@sfu.ca      |  making of books there is
  65. Research into  rslade@cue.bc.ca         |  no end, and much study is
  66. User           p1@CyberStore.ca         |  a weariness of the flesh."
  67. Security       Canada V7K 2G6           |          Ecclesiastes 12:12
  68.