Klaus-Peter Kossakowski: Computer-Würmer

 

Zur Person


Größere Projekte


IT Incident Response


Publikationen


PGP-Schlüssel


Impressum

2.2.4 Die WANK-Würmer

Ungefähr ein Jahr nach dem Auftreten des Internet-Wurms wurde am 16. Oktober 1989 der Wank-Wurm im SPAN/HEPNet gestartet. Der Name wurde aus dem Banner übernommen, das im Rahmen seiner Schadensfunktion das System-Announcement-Banner ersetzte. Für seine Ausbreitung auf die DEC-Rechner des Netzwerks, die sehr langsam erfolgte, nutzte er die gleichen Verfahren wie bereits sein Vorgänger. [Fußnote 1] Innerhalb der ersten zwölf Stunden wurde er nur auf sechs Rechnern aktiv. Bis zum 20. Oktober soll der Wurm auf 60 bis 70 Rechnern aktiv gewesen sein. Dies ist aufgrund von über Electronic Mail an den SPAN-Knoten 6.59, Account GEMPAK, übermittelten Nachrichten (die auch die jeweils für den Zugang verwendeten Paßwörter festhielten) verläßlich belegt. Dieser Knoten gehört zur NASA, über deren interne Ermittlungen, an denen auch das FBI beteiligt war, ist bisher nichts öffentlich bekannt geworden. [Fußnote 2]

In seinem Verhalten wich er erheblich von seinem Vorgänger ab. Einmal in ein System eingedrungen, setzte er das Passwort für den Default-DECNET-Account auf einen zufälligen Wert. Wurde das Wurm-Programm mit SYSPRV -Privilegien ausgeführt, veränderte es das Systembanner (siehe Abbildung 3 [Fußnote 3]) und verhinderte die Übermittlung von Electronic Mail an den SYSTEM-Account. Die Standard-Login-Prozedur wurde so verändert, daß die Benutzer den Eindruck hatten, alle ihre Dateien seien gelöscht worden, was jedoch nicht der Fall war.

Abbildung 3: 

   W O R M S    A G A I N S T    N U C L E A R     K I L L E R S 
  _______________________________________________________________
  \__  ____________  _____    ________    ___   ____  __   _____/
   \ \ \    /\    / /    / /\ \       | \ \  | |    | | / /    / 
    \ \ \  /  \  / /    / /__\ \      | |\ \ | |    | |/ /    /  
     \ \ \/ /\ \/ /    / ______ \     | | \ \| |    | |\ \   /   
      \_\  /__\  /____/ /______\ \____| |__\ | |____| |_\ \_/    
       \___________________________________________________/     
        \                                                 /      
         \    Your System Has Been Officically WANKed    /       
          \_____________________________________________/        
   You talk of times of peace for all, and then prepare for war.

Nach den verfügbaren Informationen war dies der erste Wurm, der Computer-Viren einpflanzte, die jedoch sehr primitiv waren. Infiziert wurden Kommando-Prozeduren. Die angefügten, zur weiteren lokalen Ausbreitung fähigen Anweisungen veränderten sowohl das Paßwort des FIELD-Accounts (der für die Fernwartung genutzt wird) als auch die Privilegien dieses Accounts. Damit wurde eine Falltür in das System eingebaut.

Der aktive Wurm-Prozeß bestimmte mit Hilfe einer Zufallsfunktion einen Rechner des Netzwerks und versandte an die auf diesem Rechner aktiven Benutzer einen 'Glückskuchen'. Für die weitere Ausbreitung wurde aus der Datei RIGHTSLIST eine Account-ID ausgewählt, und ein Zugriff auf ein Remote-System versucht. Als Paßwort wurde zunächst die gleiche Zeichenkette verwendet. Jeder erfolgreiche Versuch wurde aufgezeichnet. Konnte bei einem erfolgreichen Versuch auf die Datei SYSUAF.DAT zugegriffen werden, handelte es sich um einen privilegierten Account, der sofort für die Ausbreitung genutzt wurde, anderenfalls wurde einer der anderen gefundenen Accounts benutzt.

Vor der Übertragung und Aktivierung eines Wurm-Prozesses auf einen Rechner konnte ein bereits aktiver Wurm nicht erkannt werden. Aus diesem Grunde überprüfte ein neu gestarteter Wurm-Prozeß zunächst, ob der Name eines aktiven Prozesses mit NETW_ (gefolgt von einer zufälligen Zahlenfolge) begann. War dies der Fall, beendete der neue Wurm-Prozeß seine Ausführung ohne weitere Auswirkungen.

Ungeachtet aller Warnungen und Hinweise darauf, wie einfach durch administrative Maßnahmen [Fußnote 4] diese Art von Würmern zu vermeiden sei, kam es nur zwei Wochen später am 30. Oktober 1989 zu einem erneuten Wurm-Angriff. Dabei wurde der Code des Wank-Wurms nur geringfügig verändert, um die veröffentlichten Abwehrmaßnahmen zu unterlaufen. Der Name des aktiven Wurm-Prozesses wurde in OILZ_ [CIAC A-4 1989] (gefolgt von einer zufälligen Zahlenfolge) verändert; darum wird dieser Wurm auch als Oilz-Wurm oder Oilz- Variante bezeichnet. Die Schadensfunktion wurde, indem die Paßwörter auf einen willkürlich gewählten Wert gesetzt wurden, dahingehend verändert, daß kein Zugang zu den betroffenen Accounts mehr möglich war.

[Zurück zum Anfang]

 

Fußnoten:
  1. Die Darstellung beruht auf: [Oberman 1989], [CERT 04/1989], [CIAC A-2 1989], [DDN SCC 03/1989], [CIAC A-3 1989], [Ferbrache 1992, S. 24, 196, 197, 215 und 218ff], [SPAN MEMO1 1989], [SPAN MEMO2 1989], [SPAN MEMO3 1989] sowie [SPAN MEMO4 1989].
  2. Eine umfangreiche Dokumentation, die auch Teile des Quellcodes enthält, wurde von John McMahon angefertigt. Sie ist jedoch nicht frei verfügbar, sondern nur einem kleinen Kreis zugänglich und lag für diese Arbeit nicht vor.
  3. Die Wiedergabe in der Abbildung weicht nicht von der Vorlage in [Oberman 1989] ab. Dies gilt insbesondere für das Wort "Officically".
  4. Eine Prozedur zur Abwehr und Vernichtung des Wank-Wurms ist in [SPAN MEMO1 1989] zu finden.

Literaturangaben:
  1. [CIAC A-4 1989]: Information about a new version of the WANK worm / Computer Incident Advisory Capability. - In: Advisory Notice. - Nr. A-4, 30. Oktober 1989.
  2. [Oberman 1989]: Report on the W.COM worm / Oberman, R. K. - 16. Oktober 1989. - [enthalten in [CERT 04/1989], [DDN SEC 03/1989] und [CIAC A-2 1989]].
  3. [CERT 04/1989]: WANK Worm On SPAN Network / Computer Emergency Response Team. - In: CERT Advisory. - Nr. 89:04, 17. Oktober 1989.
  4. [CIAC A-2 1989]: The W.COM Worm affecting VAX VMS Systems / Computer Incident Advisory Capability. - In: Advisory Notice. - Nr. A-2, 16. Oktober 1989.
  5. [DDN SEC 03/1989]: W.COM ( WANK ) Worm On SPAN Network / DDN Security Coordination Center. - In: DDN Security Bulletin. - Nr. 3, 18. Oktober 1989.
  6. [CIAC A-3 1989]: Tools available to check the spread of the WANK Worm / Computer Incident Advisory Capability. - In: Advisory Notice. - Nr. A-3, 20. Oktober 1989.
  7. [Ferbrache 1992]: A Pathology of Computer Viruses / Ferbrache, D. - London: Springer, 1992.
  8. [SPAN MEMO1 1989]: Information Regarding the DECNET Worm and Protection Measures / SPAN Management Office. - Internetwork Memorandum vom 19. Oktober 1989.
  9. [SPAN MEMO2 1989]: Memo / Tencati, R. SPAN Management Office. - Intranetwork Memorandum vom 23. Oktober 1989.
  10. [SPAN MEMO3 1989]: Security Guidelines to be followed in latest Worm Attack / Hrsg. v. SPAN Management Office. - Internetwork Memorandum vom 30. Oktober 1989.
  11. [SPAN MEMO4 1989]: Network Security Supplemental Information - Protecting the DECNET Account / SPAN Management Office. - Internetwork Memorandum von 1989.

[Zurück] [Inhaltsverzeichnis] [Weiter]

© 1998-2001 by Klaus-Peter Kossakowski, Germany.