:: Bacana Tech ::

:: 09 setembro 2001 ::

Secrecy News 09/06/01 CIA DIRECTORATE OF SCIENCE & TECH PROFILED
Intelligence scholar Jeffrey T. Richelson has authored a study of the CIA's Directorate of Science and Technology (DST) that sheds new light on this little-known branch of the intelligence agency.
Structured as a history, Richelson's book "The Wizards of Langley" traces the activities of the DST over nearly four decades and documents its diverse achievements that range from the exquisite (the development of overhead reconnaissance) to the criminal (mind control experiments) to the absurd (psychic espionage). See:
http://www.perseusbooksgroup.com/perseus-cgi-bin/display/0-8133-6699-2
Richelson has compiled a new collection of declassified documents on the DST that was published on the National Security Archive web site here:
http://www.nsarchive.org/NSAEBB/NSAEBB54/

:: bacana 11:55 [+] ::

A briga do profeta. (O Globo/RJ - 22nov99) Ex-policial e h�bil t�cnico de eletr�nica, Marco Nunez dedicou-se de corpo e alma a encontrar buracos no DOS e no Windows e, de fato, achou coisas terr�veis. Est� tudo dispon�vel na p�gina marconunez.com.

:: bacana 11:43 [+] ::

O Fascinante Mundo da Espionagem - parte I

Espionagem de verdade, n�o das revistinhas e fotonovelas.

Como viver estas aventuras restritas a gal�s de cinema e aos que vivem na corda-bamba?

Em seu pr�prio escrit�rio.

O instrumento? Os computadores com softs-cretinos.

Assim, proteja-se! Que o contr�rio pode ser perigos�ssimo... Esconda seus segredos, mesmo que for por um minutinho.

Venha...

-Voc� desconfia que naquele "tempinho" que se ausenta, seu colega de trabalho espia seus textos.

Digamos que seja C:\WINDOWS\SEGREDOS.TXT o alvo da curiosidade alheia.

Ent�o, antes de sair ou ir ao banheirinho... fa�a o seguinte...

Abra uma Janela do DOS e digite:

move c:\windows\segredos.txt c:\recycled

Pronto. V� ao banheiro tranquilo.

N�o h� espi�o que ache seu arquivo pela Desktop MultiMidia-Linha-de-Frente-Confiabilidade-Plena... Windows 98/95!

Ele abrir� o Explorer. Procurar� pasta por pasta (at� mesmo na Recycled!, conhecida como Lixeira). Usar� a realmente poderosa Busca do Windows... e nada.

Por�m, a d�vida: -S� com isso serei um espi�o de fato? Isto me parece mais contra-espionagem!

Cada coisa tem sua hora, leitor. Deixe seu escrit�rio e v� para casa.

L� sua esposa lhe espera... � maravilhosa. Por�m �s vezes surgem d�vidas, coisas do casamento.

O que ser� que minha mulher faz no computador? Ela n�o mexe, n�o altera... faz nada. Acessa para ver ou ler alguma coisa.

E assim, a mente do rec�m-Iniciado trabalha...

Eureka!!!

-Abre a Janela do DOS, digita cd c:\recycled e "limpa ela" todinha, com um DEL *.*

E vai na esquina tomar uma cervejinha.

Quando volta, na mesma "janelinha" que chamam de velha e ultrapassada, o teste-final de aprova��o ao Mundo de 007.

Digita, silenciosamente na calada da noite, ap�s seu retorno silencioso e soturno:

cd c:\recycled

dir *.lnk

T� l�! Tudo que sua mulher xeretou... REGISTRADOS e LISTADOS. Ou quase tudo, mas documentos n�o escapa um.

Pra que serve isso? Nem os melhores farsantes de certificados importados e brilhantes, nunca me explicaram.

T�o sinistro que nem coloquei em meu livro! Que iria explicar aos leitores? Que � coisa da CIA?! Seria paran�ia minha.

Mas tem tamb�m a tal da esquizofrenia... e nessa at� vozes se ouve e v�-se coisas, e pessoas.

E voc� ouve passos... olha ao lado.

Em sua sala, fumando um cachimbo... *Kim Philby, em carne-e-osso.

E as vozes o que diziam, meu leitor adoentado?

-Bem vindo ao Mundo da Espionagem.

Lembrei? Pra comprar Meu Livro, basta acessar
http://now.at/marconunez/vendas.html
O TAL DO WINDOWS - de Marco Nunez








--------------------------------------------------------------------------------

*Kim Philby - agente de carreira brilhante no Servi�o Secreto Ingl�s. Por d�cadas serviu � Coroa, tendo alcan�ado os mais altos postos na hierarquia da espionagem brit�nica. Incomodado por "fofocas"... aposentou-se. Hoje morreu ou vive em Moscou, Uni�o Sovi�tica. Dizem que em sua �poca se existissem modems e softs-engatilhados, talvez nunca fosse descoberto. Ele traia a p�tria que lhe dera a vida. Diz que o fazia pelo ideal comunista.


--------------------------------------------------------------------------------
O Fascinante Mundo da Espionagem - parte II

Fascinante... por�m tem horas que se torna horripilante.

Nada de corda-bamba, � a corda-no-pesco�o mesmo!

A culpada: Microsoft Corporation e suas misteriosas alian�as.

O que mostrarei abaixo me pegou de surpresa mesmo. Encontrei versinhos que mandava para uma amiga espanhola que n�o me perdoa nunca, por mais versinhos que eu fa�a.

Onde estavam?

Em uma estranha Pasta que guarda as mensagens apagadas, e outras, do *OutLook Express.

Classifiquei isto de A PIOR TRAI��O DA MICROSOFT.

Se fosse a Microsoft uma empresa �rabe ou sovi�tica j� estaria acusada de "conspira��o internacional", com certeza.

Se israelense? A� seria um esc�ndalo maior ainda.

Todas suas Mensagens do Correio Eletr�nico que voc� julgava "apagadas", destru�das... estavam � disposi��o de alguns agentes, privilegiados, que conheciam tal fato.

A extens�o dos Arquivos no OutLook 4 � MBX.

No OutLook 5 (conforme descoberto pelo Sr. Carriles < carriles@compuland.com.br >) a extens�o � DBX.

E se sua esposa souber disso antes de voc�?

OutLook 4.xx

-No diret�rio Windows ABRIR a Pasta APPLICATION DATA

-ABRIR a Pasta MICROSOFT

-ABRIR a Pasta OUTLOOK EXPRESS

-ABRIR a Pasta MAIL

-Localizar o Arquivo CAIXA DE SA�DA.MBX (N�o mexa nele! N�o o abra!!!)

-Copie, apenas, este Arquivo para sua Desktop (N�o � Atalho! Copie e Cole, secamente).

-Remova a extens�o MBX, desta c�pia, e substitua por DOC

-Clique e d� OK, no que aparecer... Proporcionando assim, que seja aberto pelo MS-Word.

E, se gostas de emo��es fortes, fa�a o mesmo com Caixa de Entrada.MBX, e outros... por�m, consulte seu cardiologista antes.

E pronto! L� estar�o todos os seus segredos, suas paqueras, suas intimidades e at� mesmo suas trivialidades... contidas nas mensagens de Correio "apagadas". Na verdade, ARQUIVADAS ao alcance de qualquer um que tenha instantes de acesso � sua m�quina.

OutLook 5.xx

O "Path" (caminho) descoberto pelo Sr. Carriles � o seguinte:

C:\WINDOWS\APPLICATION DATA\IDENTITIES\MICROSOFT\OUTLOOK EXPRESS
E a extens�o � DBX. O restante da metodologia para l�-los � a mesma que usei no OutLook 4 .

Porque tais ocorr�ncias?

Porque se encontram em uma Pasta, dentro de outra Pasta e de mais outra... e outra?

E tudo isso FORA do diret�rio do OutLook Express que fica em Arquivos de Programas.

E para que servem estas Caixas abaixo, j� que nenhuma das duas est� falando a verdade???!!!



Suas mensagens continuar�o guardadas!



Espa�o perdido? Nada. T� � LOTADA de mensagens que voc� acha que apagou!

Uma leitora que teve a vida conjugal arrasada por causa disso, resumiu bem a quest�o:

-Pra qu� tanta senha e Password nessa bunda?! Se qualquer um l� tudo que voc� acha que apagou?

E ela tem raz�o. Em resposta, s� posso dizer o seguinte:

-A Microsoft n�o leva em considera��o os lares, sociedades e carreiras prejudicadas por mais esta facilidade � espionagem.

Lembrei? Pra comprar Meu Livro, basta acessar
http://now.at/marconunez/vendas.html
O TAL DO WINDOWS - de Marco Nunez








--------------------------------------------------------------------------------

* OutLook Express - inocente programa de Correio Eletr�nico instalado pelo Windows 98; tamb�m � distribu�do gratuitamente pela Microsoft Corporation.
O Fascinante Mundo da Espionagem - parte III

Imagine-se um espi�o j� devidamente recrutado e trabalhando, digamos, em uma Promotoria Criminal.

Local onde s� o Respons�vel-Chefe tem a Senha do BIOS para liberar c�pias em disquetes.

E o computador n�o tem, nem pode ter!, nenhuma liga��o com Internet ou Redes. Por motivo de seguran�a.

Mas e sua miss�o? A de bem espionar para quem lhe paga.

Assim, voc� deseja se apossar de um longo texto, o qual contem detalhes que "daria na pinta" (suspeita) voc� ficar lendo ou copiando e seu colega ou chefe surpreende-lo.

A quem recorrer? Moscou, Bagd�, Buenos Aires... Nada! Recorra � Microsoft Corporation.

-Abra o Documento que deseja fazer c�pia.

-Copie todo o documento, SELECIONANDO TUDO e pressionando Ctrl+C

-Feche o Documento alvo.

-Escolha uma figura BMP, tipo COLMEIA.BMP. Ou qualquer outro arquivo de imagem.

-Arraste-a para Write.exe (do velho Windows 3.1). Claro, dias antes voc� pediu a seu Chefe para que colocasse alguns aplicativos antigos da Microsoft, os quais voc� gosta de usar. E seu superior n�o achou nada demais, e prontamente expandiu os arquivos de um Disquete Original Microsoft.

OBS: MS-45 � o nome de Write.exe em meu computador! O �cone tamb�m � disfar�ado. Por�m, ignore isto! E proceda conforme abaixo.

-Ao arrast�-la para o Write.exe, aparecer� a seguinte tela.



-E clique CANCELAR ou N�O CONVERTER, tanto faz.

-Digite Ctrl+End e assim ir� para o fim do arquivo de imagem.

-Pressione a tecla Enter.

-Digite Ctrl+V

-Feche o Write e confirme SIM para Salvar.



-Clique COLMEIA.BMP e ver� que a figura abrir� normalmente.

-Pe�a a seu Chefe uma c�pia desta figura que voc� gostou tanto.

-Ele, � claro, treinado por Normas Internacionais, ir� olhar a figura e autorizar a c�pia. C�pia que ele mesmo far�!

-Em casa arraste a Figura para Write.exe, e pronto...

-Seu Chefe � um tremendo *Z� Colmeia.

Durante a leitura do secreto-documento, agrade�a mentalmente � Microsoft por manter tais fatos longe do conhecimento-p�blico, e proporcionar tanta facilidade aos espi�es de todo o mundo.

Lembrei? Pra comprar Meu Livro, basta acessar
http://now.at/marconunez/vendas.html
O TAL DO WINDOWS - de Marco Nunez








--------------------------------------------------------------------------------

* Z� Colmeia - um guloso urso. Personagem infantil de Hanna-Barbera, que se achava esperto por comer s�zinho gostosuras que surrupiava de turistas.

:: bacana 11:26 [+] ::

Macros.

"Krishna: -Deitem seus corpos e abracem a velha & bondosa Terra. Ela, tamb�m, sente-se amea�ada... Fa�am o vazio absoluto em seus esp�ritos, sem tentar se defender, caso contr�rio A Arma s� ficar� mais perigosa... N�o pensem em nada, e transportem-se para o tempo que ainda n�o existiam" (do poema hindu Mahabharata)

:: bacana 11:12 [+] ::

Code Red II Worm Analysis Update
=================================
The new worm that was first noticed yesterday has been analyzed. Here
is a summary of the facts based on the excellent analyses referenced
at the bottom of this page.


EXPLOITED VULNERABILITY
------------------------
This worm uses the same mechanism as the original Code Red worm to
infect vulnerable servers. That is, the worm looks for IIS servers
that have not patched the unchecked buffer vulnerability in idq.dll
or removed the ISAPI script mappings. See the Code Red Patch FAQ
at http://www.incidents.org/react/code_red.php for information on
patching systems to remove the vulnerability.

Except for using the buffer overflow mechanism in order to get the
worm code executed on a vulnerable IIS server, this new worm is
entirely different from the original Code Red CRv1 and CRv2 variants.

Note: According to eEye, the worm code will be successfully executed
only on a Win2000 system running a vulnerable IIS server, WinNT-based
IIS servers will simply crash when attempting to execute the worm
code. Our experiments and reports received from users confirm this
finding.


BACKDOOR
--------
The most damaging property of this new worm is that the worm creates
a back door on an infected server, leaving the system wide open to any
attacker.

The worm copies %windir%\CMD.EXE to the following locations:

c:\inetpub\scripts\root.exe
c:\progra~1\common~1\system\MSADC\root.exe
d:\inetpub\scripts\root.exe
d:\progra~1\common~1\system\MSADC\root.exe

This provides a means for a remote attacker to execute arbitrary
commands on the compromised server.

In addition, the worm creates a trojan copy of explorer.exe as
described below. Due to the actions of the trojan explorer.exe,
IIS will make the C: and D: root directories accessible to a remote
attacker even if the root.exe command shell program is removed from
the scripts and msadc directories.


TROJAN EXPLORER.EXE
--------------------
The worm carries its own copy of explorer.exe. The worm places its
own copy of explorer.exe at c:\explorer.exe and d:\explorer.exe. By
placing the trojan file in these locations, Windows will find and
run the trojan rather than the real explorer.exe because of the way
Windows seaches for executables by default. Specifically, unless the
system has been patched against the "Relative Shell Path"
vulnerability, the trojan explorer.exe will be executed when the next
user logs into the system. (See
http://www.microsoft.com/technet/security/bulletin/MS00-052.asp)

Upon execution, the trojan first runs the real explorer.exe (thus the
user will not notice any problems) and then goes on to modify the
system registry as outlined below.

First, the trojan program adds the value SFCDisable=0xFFFFFF9D
to HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogin.
This registry setting completely disables the Windows File
Protection (WFP) mechanism. WFP prevents the replacement of
certain monitored system files. See the following for more info:
http://support.microsoft.com/support/kb/articles/Q222/1/93.ASP

Next, the trojan sets the following "Virtual Roots" in the
registry:

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
\scripts to ,,217

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
\msadc to ,,217

These "217" settings ensure that the scripts and msadc directories
(which contain the root.exe copy of cmd.exe) have
read/write/execute permission.

Finally the trojan sets these two "Virtual Root" values as well:

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\c
to c:\,,217

SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\d
to d:\,,217

These mappings, which do not normally exist, map the root C: and D:
drives to a place where IIS can find them, namely /c and /d. The
permissions here are also set to read/write/execute.

Quoting eEye's analysis, the purpose of these mappings are described:
--------
Basically the above code creates a virtual web path (/c and /d) which
maps /c to c:\ and /d to d:\. The writer of this worm has put in this
functionality to allow for a backdoor to be placed on the system so
even if you remove the root.exe (cmd.exe prompt) from your /scripts
folder an attacker can still use the /c and /d virtual roots to
compromise your system. The attacks would basically look like:

http://IpAddress/c/inetpub/scripts/root.exe?/c+dir
(if root.exe was still there) or:
http://IpAddress/c/winnt/system32/cmd.exe?/c+dir
(Where dir could be any command an attacker would want to execute).

----------

Note that the trojan explorer.exe need only be executed once for
these registry changes to be made. Thus, all the backdoors are
enabled, and continue to be enabled, forever after, regardless of
whether or not explorer.exe is running.

To emphasize, note that even killing the trojan explorer.exe process
will not remove the back doors. Further, even killing the explorer.exe
process and removing the copies of root.exe and deleting the registry
settings will not eliminate the backdoors. If the trojan explorer.exe
is executed again (e.g. when the next person logs in), the registry
settings will be reinstated, making the C: and D: drives again
externally accessible. Finally, note that even deleting the registry
settings, removing the copies of root.exe, and removing the trojan
explorer.exe is not sufficient to clean the system. During the
time the system was backdoored any other attacker could have
installed new backdoors that are not associated with this worm.

The trojan process sleeps most of the time, but wakes to loop through
these registry key modification steps every 10 minutes. This way, even
if an administrator notices the registry settings and deletes them,
the trojan will reinstate the settings a few minutes later.


PROPAGATION
-----------
How aggressively the worm attempts to propagate itself depends on
whether or not Chinese is the language installed on the system. If
Chinese, the worm creates 600 threads and attempts to spread for 48
hours. If non-Chinese, the worm creates 300 threads and attempts to
spread for 24 hours. After the infection-spreading interval, the
system is forcibly rebooted. The reboot flushes the memory resident
worm, and leaves the backdoors and the explorer.exe trojan in place.


TARGET SELECTION
-----------------
The 300 or 600 worm threads all work simultaneously to propagate the
infection. Each chooses a random target IP and then uses one of the
following masks with the given probabilities.The masked parts of the
IP are replaced with the host computer's own IP information. Thus, the
worm mostly confines its targeting to IP addresses close to the host
computer's own.

0.0.0.0 (probability 12.5%) => random
255.0.0.0 (probability 50.0%) => same class A
255.255.0.0 (probability 37.5%) => same class B

Target IPs which are excluded are 127.x.x.x and 224.x.x.x, and no
octet is allowed to be 0 or 255. In addition, the host will not
attempt to re-infect itself.


INFECTION PROCESS
-----------------
Before each attempt to connect to a new target, the worm checks the
local time to see if the year is less than 2002 and if the month is
less than 10. If either of these checks return false, then the worm
ceases the propagation cycle and reboots the server. Note that this
implies that all worms will cease propagating by Oct. 1, 2001.

To aid performance, the worm uses a nonblocking socket to connect to
each target. Specifically this means that if one thread is stuck
waiting for a slow connection to a particular target, the wait will
not slow down the rest of the threads from continuing their scanning
function.

After making a successful connection with a target (the three way
handshake has completed), the worm thread uploads all of the worm code
at once, looks for an acknowledgement, and then moves on to attempting
to infect other hosts.

When a worm first arrives on a target and begins execution, the worm
checks to see if the host has already been infected, and if so,
disables itself. Specifically, the worm checks to see a CodeRedII atom
has been placed using "GlobalFindAtomA". If the worm finds that the
atom exists then it goes to sleep forever. If the CodeRedII atom does
not exist, the worm creates the atom and continues execution.


DOWNLOADS
---------
Corecode provides a .zip file containing a IDA Pro project file and a
plaintext disassembly for both the worm and the trojan explorer.exe
at: http://www.eikon.tum.de/~simons/ida_root/

To download the eEye analysis and their disassembly files:
http://www.eeye.com/html/advisories/coderedII.zip

The worm binary can be found at the Unixwiz site:
http://www.unixwiz.net/techtips/CodeRedII.html


REFERENCES
-----------
Corecode's Analysis:
http://archives.neohapsis.com/archives/incidents/2001-08/0092.html

NAI's Analysis:
http://vil.nai.com/vil/virusChar.asp?virus_k=99177

eEye's Analysis:
http://www.eeye.com/html/advisories/coderedII.zip

SecurityFocus Analysis:
http://archives.neohapsis.com/archives/bugtraq/2001-08/0066.html


ACKNOWLEDGEMENTS
-----------------
We are very grateful to Jesper Johansson for reviewing this report and
providing many helpful suggestions and technical details.

Many thanks are due to corecode, who stayed up all night and provided
the very first analysis of the worm binary to the public.

We'd also like to recognize Stephen Friedl of Unixwiz for performing
a higher level analysis last night and posting his findings to the
web before any other concrete information was available.

Also, we thank Matt Scarborough for testing the worm on WinNT to
confirm that these systems crash rather than running worm code
successfully.

:: bacana 16:29 [+] ::