Zephyrnet-logo

De CHRISTMA EXEC-netwerkworm – 35 jaar en er komen er nog aan!

Datum:

Vergeet Sergeant Pepper en zijn Lonely Hearts Club Band, die leerde de band spelen vandaag precies 20 jaar geleden.

December 2022 ziet de 35ste verjaardag van het eerste grote zichzelf verspreidende computervirus - de beruchte CHRISTMA EXEC worm die tijdelijk de belangrijkste mainframenetwerken van de dag verpletterde ...

… niet door opzettelijk gecodeerde neveneffecten zoals het versleutelen van bestanden of het verwijderen van gegevens, maar simpelweg door te veel netwerkbandbreedte te gebruiken voor eigen ongeautoriseerde doeleinden.

Als lokaas om het feit te verhullen dat het in de jaren 1980 IBM-equivalenten van uw e-mailadresboek las (NAMES) en uw bestand met bekende hosts (NETLOG) om zoveel mogelijk nieuwe ontvangers van de malware te vinden om zichzelf naartoe te sturen, gaf de malware dit weer:

 * * *** ***** ******* ********* ************* EEN ******* *** ******** HEEL GELUKKIG ****** ***** *************** KERSTMIS ******************* ********** ************* EN MIJN *************** ****************** BESTE WENSEN ********************* ************************** * VOOR HET VOLGENDE ****** ****** JAAR ******

Als je je afvraagt ​​waarom het virus algemeen bekend staat als CHRISTMA EXEC, in plaats van door het volledige woord CHRISTMAS...

…dat komt omdat bestandsnamen beperkt waren tot acht tekens, gevolgd door een spatie en wat we tegenwoordig een "extensie" van EXEC om ze om te zetten in scripts die rechtstreeks door de gebruiker kunnen worden uitgevoerd - uitgevoerd, in technisch jargon.

Het virus zelf is geschreven in IBM's krachtige, op tekst gebaseerde scripttaal REXX (de klinkende naam Geherstructureerde uitgebreide uitvoerder), dus een niet-programmeur die naar het bericht kijkt, zou het waarschijnlijk herkennen als "programmacode", en daarom de neiging hebben het te negeren als onbelangrijk en irrelevant, ondanks dat het er misschien interessant uitziet.

Behalve dat de auteur van het virus een vrolijke manier heeft gevonden om een ​​instructief lokaas in de code zelf in te bouwen, die begint met een opmerking (zoals in de C-taal, tekst tussen /* en */ in REXX-programma's wordt behandeld als een opmerking en genegeerd wanneer het bestand wordt gebruikt)...

/*************************/ /* LAAT DEZE EXEC */ /* */ /* UITVOEREN */ /* */ /* EN */ /* */ /* GENIET VAN */ /* */ /* JEZELF! */ /*************************/

…en biedt vervolgens het volgende vrolijke advies aan niet-techneuten:

/* door dit bestand bladeren is helemaal niet leuk, typ gewoon KERSTMIS van cms */

CMS is een afkorting van Conversational Monitor-systeem, een opdrachtpromptomgeving bovenop IBM's eerbiedwaardige besturingssysteem VM/370 en zijn vele varianten, die individuele gebruikers een real-time virtuele machine bood die zich gedroeg als een geheel eigen computer, met eigen schijfruimte voor het opslaan van persoonlijke bestanden en programma's.

Handig was dat de gebruiker niet hoefde te worden geleerd om de finale te verlaten -S van het woord af CHRISTMAS, omdat CMS automatisch eventuele extra tekens negeert en zoekt naar CHRISTMA EXEC, wat het scriptprogramma was dat de gebruiker zojuist had ontvangen zonder het te verwachten of erom te vragen.

Zoals hierboven vermeld, gaf de code inderdaad de ASCII-kunst van de kerstboom weer - of, meer precies, EBCDIC-kunst, aangezien IBM beroemd was met zijn eigen tekencoderingssysteem dat bekend staat als Uitgebreide binair gecodeerde decimale uitwisselingscode (uitgesproken als eb-si-dick).

Maar het kroop ook door je heen NAMES en NETLOG bestanden, die andere gebruikers en computers vermeldden waarmee u regelmatig contact opnam, en zichzelf naar allemaal kopieerden, zodat voor elke gebruiker die onschuldig typte CHRISTMAS bij de opdrachtprompt...

…een zee van kopieën van het virus (20? 50? 200?) zou worden verspreid, mogelijk wereldwijd, en als een van die ontvangers (20? 50? 200?) onschuldig zou typen CHRISTMAS bij de opdrachtprompt...

…een zee van kopieën van het virus zou worden verspreid, enzovoort, enzovoort.

Tinten van de toekomst

Zoals we al zeiden in podcast van deze week, waar we deze zaadworm bespraken:

[Dit is net als moderne macro-malware die tegen de gebruiker zegt: “Hé, macro's zijn uitgeschakeld, maar voor je 'extra veiligheid' moet je ze weer inschakelen... waarom klik je niet op de knop? Zo gaat het veel makkelijker.”

35 jaar geleden hadden malwareschrijvers al door dat als je gebruikers netjes vraagt ​​iets te doen dat helemaal niet in hun belang is, sommigen van hen, mogelijk velen, het zullen doen.

We merkten ook op dat:

[De kerstboomworm] had een waarschuwingsschot voor al onze boeg moeten zijn, maar ik denk dat het werd gevoeld als een klein beetje een flits in de pan.

Tot een jaar later – toen kwam de Internet-worm, die natuurlijk Unix-systemen aanvielen en wijd en zijd verspreidden.

En tegen die tijd denk ik dat we ons allemaal realiseerden: "Oh, deze scène met virussen en wormen kan behoorlijk lastig worden."

Hadden we het maar mis gehad, hè?



Uitgelichte afbeelding van IBM 3279-terminal dankzij gebruiker Schild voor je ogen via Wikimedia.


spot_img

Laatste intelligentie

spot_img