home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / network / 8903 < prev    next >
Encoding:
Text File  |  2003-06-11  |  10.7 KB  |  236 lines
  1.  
  2. **********************************************************************
  3.  
  4. DDN Security Bulletin 03         DCA DDN Defense Communications System
  5. 18 Oct 89               Published by: DDN Security Coordination Center
  6.                                      (SCC@NIC.DDN.MIL)  (800) 235-3155
  7.  
  8.                         DEFENSE  DATA  NETWORK
  9.                           SECURITY  BULLETIN
  10.  
  11. The DDN  SECURITY BULLETIN  is distributed  by the  DDN SCC  (Security
  12. Coordination Center) under  DCA contract as  a means of  communicating
  13. information on network and host security exposures, fixes, &  concerns
  14. to security & management personnel at DDN facilities.  Back issues may
  15. be  obtained  via  FTP  (or  Kermit)  from  NIC.DDN.MIL  [26.0.0.73 or
  16. 10.0.0.51] using login="anonymous" and password="guest".  The bulletin
  17. pathname is SCC:DDN-SECURITY-nn (where "nn" is the bulletin number).
  18.  
  19. **********************************************************************
  20.  
  21.                  W.COM ("WANK") WORM ON SPAN NETWORK
  22.  
  23. On 16 October, the CERT received word from SPAN network control that a
  24. worm was attacking SPAN VAX/VMS  systems.  This worm affects only  DEC
  25. VMS  systems  and  is  propagated  via  DECnet (not TCP/IP) protocols.
  26. At least  two versions  of this  worm exist  and more  may be created.
  27. Non-VMS systems are immune; TCP/IP networks are not at risk.
  28.  
  29. While this program  is very similar to last year's HI.COM  (or "Father
  30. Christmas") worm (see DDN MGT Bulletin #50  23 Dec 88),  THIS IS NOT A
  31. PRANK.  Instead of a "cute" Christmas greeting,  W.COM appends code to
  32. .com files and displays this banner:
  33.  
  34.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  35.     _______________________________________________________________
  36.     \__  ____________  _____    ________    ____  ____   __  _____/
  37.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  38.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  39.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  40.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  41.          \___________________________________________________/
  42.           \                                                 /
  43.            \    Your System Has Been Officically WANKed    /
  44.             \_____________________________________________/
  45.  
  46.      You talk of times of peace for all, and then prepare for war.
  47.  
  48. Initial reports described the worm as destructive, i.e. it would erase
  49. files.  Detailed  analysis by  the CERT,  Lawrence Livermore  National
  50. Laboratory, and  FermiLab has  not found  any code  that would perform
  51. file erasures.   However,  files are altered and new accounts created.
  52. Serious security holes are left open by this worm.
  53.  
  54. It is very  important to understand  that someone in  the future could
  55. launch this  worm on  any DECnet  based network.   Many copies  of the
  56. virus have been mailed around.  Anyone running a DECnet network should
  57. be warned.
  58.  
  59. When  the  DDN  PMO  received  these  initial  reports, the MailBridge
  60. filters were activated  to preclude any  traffic from passing  between
  61. MILNET and the rest of the  Internet.   The filters will be turned off
  62. (restoring full interoperability)  Tuesday  17 October 1989  NLT 17:00
  63. EDT.   (NOTE:  W.COM could traverse the MILNET only if encapsulated in
  64. a TCP/IP  "envelope",  i.e. "assisted" by  a human  agent,  and cannot
  65. "infect" the MILNET.)
  66.  
  67. R. Kevin Oberman from Lawrence Livermore National Laboratory reports:
  68.  
  69.     "This is a mean bug to kill and could have done a lot of damage.
  70.     Since it notifies (by mail) someone of each successful penetration
  71.     and leaves a trapdoor (the FIELD account), just killing the bug is
  72.     not adequate.  You must go in an make sure all accounts have
  73.     passwords and that the passwords are not the same as the account
  74.     name."
  75.  
  76. The CERT also suggests checking every  .com  file on the system.   The
  77. worm appends  code to  .com  files which will  reopen a  security hole
  78. every time the program is executed.
  79.  
  80. An analysis of the  worm  (provided by R. Kevin Oberman  and used with
  81. his permission)  appears below.   Included with  the analysis is a DCL
  82. program that will block the current version of the worm.  This program
  83. should provide enough time to close up obvious security holes.
  84.  
  85. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  86.  
  87. Date: Mon, 16 Oct 89 15:30 PDT
  88. From: "Kevin Oberman, LLNL, (415)422-6955" <OBERMAN@icdc.llnl.gov>
  89. Subject: Report on network worm ***URGENT***
  90.  
  91.  
  92.  
  93.                           Report on the W.COM worm.
  94.                                R. Kevin Oberman
  95.                             Engineering Department
  96.                     Lawrence Livermore National Laboratory
  97.                                October 16, 1989
  98.  
  99. The following describes the action of the W.COM worm (currently based on the
  100. examination of the first two incarnations). The replication technique causes
  101. the code to be modified slightly which indicates the source of the attack and
  102. learned information.
  103.  
  104. All analysis was done with more haste than I care for, but I believe I have all
  105. of the basic facts correct.
  106.  
  107. First a description of the program:
  108.  
  109. 1. The program assures that it is working in a directory to which the owner
  110. (itself) has full access (Read, Write,Execute, and Delete).
  111.  
  112. 2. The program checks to see if another copy is still running. It looks for a
  113. process with the first 5 characters of "NETW_". If such is found, it deletes
  114. itself (the file) and stops its process.
  115.  
  116.                                      NOTE
  117. A quick check for infection is to look for a process name starting with
  118. "NETW_". This may be done with a SHOW PROCESS command.
  119.  
  120. 3. The program then changes the default DECNET account password to a random
  121. string of at least 12 characters.
  122.  
  123. 4. Information on the password used to access the system is mailed to the user
  124. GEMTOP on SPAN node 6.59. Some versions may have a different address.
  125.  
  126. 5. The process changes its name to "NETW_" followed by a random number.
  127.  
  128. 6. It then checks to see if it has SYSNAM priv. If so, it defines the system
  129. announcement message to be the banner in the program:
  130.       W O R M S    A G A I N S T    N U C L E A R    K I L L E R S
  131.     _______________________________________________________________
  132.     \__  ____________  _____    ________    ____  ____   __  _____/
  133.      \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    /
  134.       \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /
  135.        \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /
  136.         \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/
  137.          \___________________________________________________/
  138.           \                                                 /
  139.            \    Your System Has Been Officically WANKed    /
  140.             \_____________________________________________/
  141.  
  142.      You talk of times of peace for all, and then prepare for war.
  143.  
  144. 7. If it has SYSPRV, it disables mail to the SYSTEM account.
  145.  
  146. 8. If it has SYSPRV, it modifies the system login command procedure to
  147. APPEAR to delete all of a user's file. (It really does nothing.)
  148.  
  149. 9. The program then scans the accounts logical name table for command
  150. procedures and tries to modify the FIELD account to a known password
  151. with login from any source and all privs. This is a primitive virus,
  152. but very effective IF it should get into a privileged account.
  153.  
  154. 10. It proceeds to attempt to access other systems by picking node numbers at
  155. random. It then used PHONE to get a list of active users on the remote system.
  156. It proceeds to irritate them by using PHONE to ring them.
  157.  
  158. 11. The program then tries to access the RIGHTSLIST file and attempts
  159. to access some remote system using the users found and a list of
  160. "standard" users included with the worm. It looks for passwords
  161. which are the same as that of the account or are blank. It records all
  162. such accounts.
  163.  
  164. 12. It looks for an account that has access to SYSUAF.DAT.
  165.  
  166. 13. If a priv. account is found, the program is copied to that account and
  167. started. If no priv account was found, it is copied to other accounts found on
  168. the random system.
  169.  
  170. 14. As soon as it finishes with a system, it picks another random system and
  171. repeats (forever).
  172.  
  173. Response:
  174.  
  175. 1. The following program will block the worm. Extract the following code
  176. and execute it. It will use minimal resources. It create a process named
  177. NETW_BLOCK which will prevent the worm from running.
  178. -------
  179. Editors note:  This fix will work only with this version of the worm.
  180. Mutated worms will require modification of this code; however, this
  181. program should prevent the worm from running long enough to secure
  182. your system from the worms attacks.
  183. -------
  184. ==============================================================================
  185. $ Set Default SYS$MANAGER
  186. $ Create BLOCK_WORM.COM
  187. $ DECK/DOLLAR=END_BLOCK
  188. $LOOP:
  189. $ Set Process/Name=NETW_BLOCK
  190. $ Wait 12:0
  191. $ GoTo loop
  192. END_BLOCK
  193. $ Run/Input=SYS$MANAGER:BLOCK_WORM.COM/Error=NL:/Output=NL:/UIC=[1,4] -
  194.     SYS$SYSTEM:LOGINOUT
  195. ==============================================================================
  196.  
  197. 2. Enable security auditing. The following command turns on the MINIMUM
  198. alarms. The log is very useful in detecting the effects of the virus left by
  199. the worm. It will catch the viruses modification of the UAF.
  200. $ Set Audit/Alarm/Enable=(ACL,Authorization,Breakin=All,Logfailure=All)
  201.  
  202. 3. Check for any account with NETWORK access available for blank passwords or
  203. passwords that are the same as the username. Change them!
  204.  
  205. 4. If you are running VMS V5.x, get a copy of SYS$UPDATE:NETCONFIG_UPDATE.COM
  206. from any V5.2 system and run it. If you are running V4.x, change the username
  207. and password for the network object "FAL".
  208.  
  209. 5. If you have been infected, it will be VERY obvious. Start checking the
  210. system for modifications to the FIELD account. Also, start scanning the system
  211. for the virus. Any file modified will contain the following line:
  212. $ oldsyso=f$trnlnm("SYS$OUTPUT")
  213. It may be in LOTS of command procedures. Until all copies of the virus are
  214. eliminated, the FIELD account may be changed again.
  215.  
  216. 6. Once you are sure all of the holes are plugged, you might kill off
  217. NETW_BLOCK. (And then again, maybe not.)
  218.  
  219. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  220.  
  221. If you have any technical questions or have an infected system, please
  222. call the CERT:
  223.  
  224. Computer Emergency Response Team
  225. Email: cert@sei.cmu.edu
  226. Telephone: 412-268-7090 (answers 24 hours a day)
  227.  
  228.  
  229. If you have any general questions, please call the SCC:
  230.  
  231. Security Coordination Center
  232. Email: scc@nic.ddn.mil
  233. Telephone: 1-800-235-3155 or 415-859-3695 (7 a.m. to 5 p.m. Pacific time).
  234.  
  235.  
  236.