DataMuseum.dk

Presents historical artifacts from the history of:

DKUUG/EUUG Conference tapes

This is an automatic "excavation" of a thematic subset of
artifacts from Datamuseum.dk's BitArchive.

See our Wiki for more about DKUUG/EUUG Conference tapes

Excavated with: AutoArchaeologist - Free & Open Source Software. 

top - metrics - download
Index: U

⟦5f01047d6⟧ 

    Length: 77843 (0x13013)
    Notes: Uncompressed file

Derivation

└─⟦4f9d7c866⟧ Bits:30007245 EUUGD6: Sikkerheds distributionen
    └─⟦2820f1d1d⟧ »./worm/seely.crt.Z« 
        └─⟦this⟧

Hex Dump

0x00000…00020 0a 0a 0a 0a 0a 0a 0a 0a 0a 0a 0a 0a 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆                                ┆
0x00020…00040 20 20 20 20 5f 08 41 20 5f 08 54 5f 08 6f 5f 08 75 5f 08 72 20 5f 08 6f 5f 08 66 20 5f 08 74 5f   ┆    _ A _ T_ o_ u_ r _ o_ f _ t_┆
0x00040…00060 08 68 5f 08 65 20 5f 08 57 5f 08 6f 5f 08 72 5f 08 6d 0a 0a 20 20 20 20 20 20 20 20 20 20 20 20   ┆ h_ e _ W_ o_ r_ m              ┆
0x00060…00080 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 5f 08 44 5f 08 6f 5f 08 6e 5f 08 6e 20 5f 08 53 5f   ┆               _ D_ o_ n_ n _ S_┆
0x00080…000a0 08 65 5f 08 65 5f 08 6c 5f 08 65 5f 08 79 0a 1b 39 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆ e_ e_ l_ e_ y  9               ┆
0x000a0…000c0 20 20 44 65 70 61 72 74 6d 65 6e 74 20 6f 66 20 43 6f 6d 70 75 74 65 72 20 53 63 69 65 6e 63 65   ┆  Department of Computer Science┆
0x000c0…000e0 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 55 6e 69 76 65 72 73 69   ┆                        Universi┆
0x000e0…00100 74 79 20 6f 66 20 55 74 61 68 0a 0a 1b 39 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆ty of Utah   9                  ┆
0x00100…00120 20 20 20 20 20 20 20 20 20 20 5f 08 41 5f 08 42 5f 08 53 5f 08 54 5f 08 52 5f 08 41 5f 08 43 5f   ┆          _ A_ B_ S_ T_ R_ A_ C_┆
0x00120…00140 08 54 0a 0a 0a 20 20 20 20 4f 6e 20 74 68 65 20 65 76 65 6e 69 6e 67 20 6f 66 20 4e 6f 76 65 6d   ┆ T       On the evening of Novem┆
0x00140…00160 62 65 72 20 32 2c 20 20 31 39 38 38 2c 20 20 61 20 20 73 65 6c 66 2d 72 65 70 6c 69 63 61 74 69   ┆ber 2,  1988,  a  self-replicati┆
0x00160…00180 6e 67 0a 20 20 20 20 70 72 6f 67 72 61 6d 20 77 61 73 20 72 65 6c 65 61 73 65 64 20 75 70 6f 6e   ┆ng     program was released upon┆
0x00180…001a0 20 74 68 65 20 49 6e 74 65 72 6e 65 74 5b 31 5d 2e 20 20 54 68 69 73 20 20 70 72 6f 67 72 61 6d   ┆ the Internet[1].  This  program┆
0x001a0…001c0 0a 20 20 20 20 28 61 20 5f 08 77 5f 08 6f 5f 08 72 5f 08 6d 29 20 69 6e 76 61 64 65 64 20 56 41   ┆     (a _ w_ o_ r_ m) invaded VA┆
0x001c0…001e0 58 20 61 6e 64 20 53 75 6e 2d 33 20 63 6f 6d 70 75 74 65 72 73 20 72 75 6e 6e 69 6e 67 20 76 65   ┆X and Sun-3 computers running ve┆
0x001e0…00200 72 73 69 6f 6e 73 0a 20 20 20 20 6f 66 20 42 65 72 6b 65 6c 65 79 20 55 4e 49 58 2c 20 61 6e 64   ┆rsions     of Berkeley UNIX, and┆
0x00200…00220 20 20 75 73 65 64 20 20 74 68 65 69 72 20 20 72 65 73 6f 75 72 63 65 73 20 20 74 6f 20 20 61 74   ┆  used  their  resources  to  at┆
0x00220…00240 74 61 63 6b 0a 20 20 20 20 73 74 69 6c 6c 20 6d 6f 72 65 20 63 6f 6d 70 75 74 65 72 73 5b 32 5d   ┆tack     still more computers[2]┆
0x00240…00260 2e 20 20 57 69 74 68 69 6e 20 74 68 65 20 73 70 61 63 65 20 6f 66 20 68 6f 75 72 73 20 20 74 68   ┆.  Within the space of hours  th┆
0x00260…00280 69 73 0a 20 20 20 20 70 72 6f 67 72 61 6d 20 68 61 64 20 73 70 72 65 61 64 20 61 63 72 6f 73 73   ┆is     program had spread across┆
0x00280…002a0 20 74 68 65 20 55 2e 53 2e 2c 20 69 6e 66 65 63 74 69 6e 67 20 68 75 6e 64 72 65 64 73 20 6f 72   ┆ the U.S., infecting hundreds or┆
0x002a0…002c0 0a 20 20 20 20 74 68 6f 75 73 61 6e 64 73 20 6f 66 20 63 6f 6d 70 75 74 65 72 73 20 61 6e 64 20   ┆     thousands of computers and ┆
0x002c0…002e0 6d 61 6b 69 6e 67 20 6d 61 6e 79 20 6f 66 20 20 74 68 65 6d 20 20 75 6e 75 73 61 62 6c 65 0a 20   ┆making many of  them  unusable  ┆
0x002e0…00300 20 20 20 64 75 65 20 74 6f 20 74 68 65 20 62 75 72 64 65 6e 20 6f 66 20 69 74 73 20 61 63 74 69   ┆   due to the burden of its acti┆
0x00300…00320 76 69 74 79 2e 20 20 54 68 69 73 20 70 61 70 65 72 20 70 72 6f 76 69 64 65 73 20 61 0a 20 20 20   ┆vity.  This paper provides a    ┆
0x00320…00340 20 63 68 72 6f 6e 6f 6c 6f 67 79 20 66 6f 72 20 20 74 68 65 20 20 6f 75 74 62 72 65 61 6b 20 20   ┆ chronology for  the  outbreak  ┆
0x00340…00360 61 6e 64 20 20 70 72 65 73 65 6e 74 73 20 20 61 20 20 64 65 74 61 69 6c 65 64 0a 20 20 20 20 64   ┆and  presents  a  detailed     d┆
0x00360…00380 65 73 63 72 69 70 74 69 6f 6e 20 20 6f 66 20 20 74 68 65 20 20 69 6e 74 65 72 6e 61 6c 73 20 6f   ┆escription  of  the  internals o┆
0x00380…003a0 66 20 74 68 65 20 77 6f 72 6d 2c 20 62 61 73 65 64 20 6f 6e 20 61 20 43 0a 20 20 20 20 76 65 72   ┆f the worm, based on a C     ver┆
0x003a0…003c0 73 69 6f 6e 20 70 72 6f 64 75 63 65 64 20 62 79 20 64 65 63 6f 6d 70 69 6c 69 6e 67 2e 0a 0a 0a   ┆sion produced by decompiling.   ┆
0x003c0…003e0 5f 08 31 2e 20 20 5f 08 49 5f 08 6e 5f 08 74 5f 08 72 5f 08 6f 5f 08 64 5f 08 75 5f 08 63 5f 08   ┆_ 1.  _ I_ n_ t_ r_ o_ d_ u_ c_ ┆
0x003e0…00400 74 5f 08 69 5f 08 6f 5f 08 6e 0a 0a 20 20 20 20 54 68 65 72 65 20 69 73 20 61 20 66 69 6e 65 20   ┆t_ i_ o_ n      There is a fine ┆
0x00400…00420 6c 69 6e 65 20 62 65 74 77 65 65 6e 20 68 65 6c 70 69 6e 67 20 61 64 6d 69 6e 69 73 74 72 61 74   ┆line between helping administrat┆
0x00420…00440 6f 72 73 20 20 70 72 6f 2d 0a 20 20 20 20 74 65 63 74 20 74 68 65 69 72 20 73 79 73 74 65 6d 73   ┆ors  pro-     tect their systems┆
0x00440…00460 20 61 6e 64 20 70 72 6f 76 69 64 69 6e 67 20 61 20 63 6f 6f 6b 62 6f 6f 6b 20 66 6f 72 20 62 61   ┆ and providing a cookbook for ba┆
0x00460…00480 64 20 67 75 79 73 2e 0a 20 20 20 20 5b 47 72 61 6d 70 70 20 61 6e 64 20 4d 6f 72 72 69 73 2c 20   ┆d guys.     [Grampp and Morris, ┆
0x00480…004a0 60 60 55 4e 49 58 20 4f 70 65 72 61 74 69 6e 67 20 53 79 73 74 65 6d 20 53 65 63 75 72 69 74 79   ┆``UNIX Operating System Security┆
0x004a0…004c0 27 27 5d 0a 0a 0a 20 20 20 20 20 4e 6f 76 65 6d 62 65 72 20 33 2c 20 31 39 38 38 20 69 73 20 61   ┆'']        November 3, 1988 is a┆
0x004c0…004e0 6c 72 65 61 64 79 20 63 6f 6d 69 6e 67 20 74 6f 20 62 65 20 6b 6e 6f 77 6e 20 61 73 20 42 6c 61   ┆lready coming to be known as Bla┆
0x004e0…00500 63 6b 0a 54 68 75 72 73 64 61 79 2e 20 20 53 79 73 74 65 6d 20 61 64 6d 69 6e 69 73 74 72 61 74   ┆ck Thursday.  System administrat┆
0x00500…00520 6f 72 73 20 61 72 6f 75 6e 64 20 74 68 65 20 63 6f 75 6e 74 72 79 20 63 61 6d 65 20 74 6f 20 77   ┆ors around the country came to w┆
0x00520…00540 6f 72 6b 0a 6f 6e 20 74 68 61 74 20 64 61 79 20 61 6e 64 20 64 69 73 63 6f 76 65 72 65 64 20 74   ┆ork on that day and discovered t┆
0x00540…00560 68 61 74 20 74 68 65 69 72 20 6e 65 74 77 6f 72 6b 73 20 6f 66 20 63 6f 6d 70 75 74 65 72 73 20   ┆hat their networks of computers ┆
0x00560…00580 77 65 72 65 0a 6c 61 62 6f 72 69 6e 67 20 75 6e 64 65 72 20 61 20 68 75 67 65 20 6c 6f 61 64 2e   ┆were laboring under a huge load.┆
0x00580…005a0 20 20 49 66 20 74 68 65 79 20 77 65 72 65 20 61 62 6c 65 20 74 6f 20 6c 6f 67 20 69 6e 20 61 6e   ┆  If they were able to log in an┆
0x005a0…005c0 64 20 67 65 6e 2d 0a 65 72 61 74 65 20 61 20 73 79 73 74 65 6d 20 73 74 61 74 75 73 20 6c 69 73   ┆d gen- erate a system status lis┆
0x005c0…005e0 74 69 6e 67 2c 20 74 68 65 79 20 73 61 77 20 77 68 61 74 20 61 70 70 65 61 72 65 64 20 74 6f 20   ┆ting, they saw what appeared to ┆
0x005e0…00600 62 65 0a 64 6f 7a 65 6e 73 20 6f 72 20 68 75 6e 64 72 65 64 73 20 6f 66 20 60 60 73 68 65 6c 6c   ┆be dozens or hundreds of ``shell┆
0x00600…00620 27 27 20 28 63 6f 6d 6d 61 6e 64 20 69 6e 74 65 72 70 72 65 74 65 72 29 20 70 72 6f 63 65 73 73   ┆'' (command interpreter) process┆
0x00620…00640 65 73 2e 0a 49 66 20 74 68 65 79 20 74 72 69 65 64 20 74 6f 20 6b 69 6c 6c 20 74 68 65 20 70 72   ┆es. If they tried to kill the pr┆
0x00640…00660 6f 63 65 73 73 65 73 2c 20 74 68 65 79 20 66 6f 75 6e 64 20 74 68 61 74 20 6e 65 77 0a 70 72 6f   ┆ocesses, they found that new pro┆
0x00660…00680 63 65 73 73 65 73 20 61 70 70 65 61 72 65 64 20 66 61 73 74 65 72 20 74 68 61 6e 20 74 68 65 79   ┆cesses appeared faster than they┆
0x00680…006a0 20 63 6f 75 6c 64 20 6b 69 6c 6c 20 74 68 65 6d 2e 20 20 52 65 62 6f 6f 74 69 6e 67 0a 5f 5f 5f   ┆ could kill them.  Rebooting ___┆
0x006a0…006c0 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 5f 0a 1b 39 20 20 20 5b 31 5d 20 54 68 65 20 49   ┆_________________  9   [1] The I┆
0x006c0…006e0 6e 74 65 72 6e 65 74 20 69 73 20 61 20 6c 6f 67 69 63 61 6c 20 6e 65 74 77 6f 72 6b 20 6d 61 64   ┆nternet is a logical network mad┆
0x006e0…00700 65 20 75 70 20 6f 66 20 6d 61 6e 79 20 70 68 79 73 69 63 61 6c 0a 6e 65 74 77 6f 72 6b 73 2c 20   ┆e up of many physical networks, ┆
0x00700…00720 61 6c 6c 20 72 75 6e 6e 69 6e 67 20 74 68 65 20 49 50 20 63 6c 61 73 73 20 6f 66 20 6e 65 74 77   ┆all running the IP class of netw┆
0x00720…00740 6f 72 6b 20 70 72 6f 74 6f 63 6f 6c 73 2e 0a 20 20 20 5b 32 5d 20 20 56 41 58 20 20 61 6e 64 20   ┆ork protocols.    [2]  VAX  and ┆
0x00740…00760 20 53 75 6e 2d 33 20 20 61 72 65 20 6d 6f 64 65 6c 73 20 6f 66 20 63 6f 6d 70 75 74 65 72 73 20   ┆ Sun-3  are models of computers ┆
0x00760…00780 62 75 69 6c 74 20 62 79 20 44 69 67 69 74 61 6c 0a 45 71 75 69 70 6d 65 6e 74 20 43 6f 72 70 2e   ┆built by Digital Equipment Corp.┆
0x00780…007a0 20 61 6e 64 20 53 75 6e 20 4d 69 63 72 6f 73 79 73 74 65 6d 73 20 49 6e 63 2e 2c 20 72 65 73 70   ┆ and Sun Microsystems Inc., resp┆
0x007a0…007c0 65 63 74 69 76 65 6c 79 2e 20 20 55 4e 49 58 20 69 73 0a 61 20 52 65 67 69 73 74 65 72 65 64 20   ┆ectively.  UNIX is a Registered ┆
0x007c0…007e0 42 65 6c 6c 20 6f 66 20 41 54 26 54 20 54 72 61 64 65 6d 61 72 6b 20 4c 61 62 6f 72 61 74 6f 72   ┆Bell of AT&T Trademark Laborator┆
0x007e0…00800 69 65 73 2e 0a 0a 0a 0a 0a 1b 39 0a 0a 0a 0a 0a 0a 0a 0a 54 6f 75 72 20 6f 66 20 74 68 65 20 57   ┆ies.      9        Tour of the W┆
0x00800…00820 6f 72 6d 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆orm                             ┆
0x00820…00840 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 32 0a 0a 0a 74 68 65 20 63 6f 6d 70 75   ┆                   2   the compu┆
0x00840…00860 74 65 72 20 73 65 65 6d 65 64 20 74 6f 20 68 61 76 65 20 6e 6f 20 65 66 66 65 63 74 2d 2d 77 69   ┆ter seemed to have no effect--wi┆
0x00860…00880 74 68 69 6e 20 6d 69 6e 75 74 65 73 20 61 66 74 65 72 0a 73 74 61 72 74 69 6e 67 20 75 70 20 61   ┆thin minutes after starting up a┆
0x00880…008a0 67 61 69 6e 2c 20 74 68 65 20 6d 61 63 68 69 6e 65 20 77 61 73 20 6f 76 65 72 6c 6f 61 64 65 64   ┆gain, the machine was overloaded┆
0x008a0…008c0 20 62 79 20 74 68 65 73 65 20 6d 79 73 74 65 72 69 6f 75 73 0a 70 72 6f 63 65 73 73 65 73 2e 0a   ┆ by these mysterious processes. ┆
0x008c0…008e0 0a 20 20 20 20 20 54 68 65 73 65 20 73 79 73 74 65 6d 73 20 68 61 64 20 62 65 65 6e 20 69 6e 76   ┆      These systems had been inv┆
0x008e0…00900 61 64 65 64 20 62 79 20 61 20 5f 08 77 5f 08 6f 5f 08 72 5f 08 6d 2e 20 20 41 20 77 6f 72 6d 20   ┆aded by a _ w_ o_ r_ m.  A worm ┆
0x00900…00920 69 73 20 61 20 70 72 6f 2d 0a 67 72 61 6d 20 74 68 61 74 20 70 72 6f 70 61 67 61 74 65 73 20 69   ┆is a pro- gram that propagates i┆
0x00920…00940 74 73 65 6c 66 20 61 63 72 6f 73 73 20 61 20 6e 65 74 77 6f 72 6b 2c 20 75 73 69 6e 67 20 72 65   ┆tself across a network, using re┆
0x00940…00960 73 6f 75 72 63 65 73 20 6f 6e 0a 6f 6e 65 20 6d 61 63 68 69 6e 65 20 74 6f 20 61 74 74 61 63 6b   ┆sources on one machine to attack┆
0x00960…00980 20 6f 74 68 65 72 20 6d 61 63 68 69 6e 65 73 2e 20 20 28 41 20 77 6f 72 6d 20 69 73 20 6e 6f 74   ┆ other machines.  (A worm is not┆
0x00980…009a0 20 71 75 69 74 65 20 74 68 65 0a 73 61 6d 65 20 61 73 20 61 20 5f 08 76 5f 08 69 5f 08 72 5f 08   ┆ quite the same as a _ v_ i_ r_ ┆
0x009a0…009c0 75 5f 08 73 2c 20 77 68 69 63 68 20 69 73 20 61 20 70 72 6f 67 72 61 6d 20 66 72 61 67 6d 65 6e   ┆u_ s, which is a program fragmen┆
0x009c0…009e0 74 20 74 68 61 74 20 69 6e 73 65 72 74 73 20 69 74 73 65 6c 66 0a 69 6e 74 6f 20 6f 74 68 65 72   ┆t that inserts itself into other┆
0x009e0…00a00 20 70 72 6f 67 72 61 6d 73 2e 29 20 54 68 65 20 77 6f 72 6d 20 68 61 64 20 74 61 6b 65 6e 20 61   ┆ programs.) The worm had taken a┆
0x00a00…00a20 64 76 61 6e 74 61 67 65 20 6f 66 20 6c 61 70 73 65 73 20 69 6e 0a 73 65 63 75 72 69 74 79 20 6f   ┆dvantage of lapses in security o┆
0x00a20…00a40 6e 20 73 79 73 74 65 6d 73 20 74 68 61 74 20 77 65 72 65 20 72 75 6e 6e 69 6e 67 20 34 2e 32 20   ┆n systems that were running 4.2 ┆
0x00a40…00a60 6f 72 20 34 2e 33 20 42 53 44 20 55 4e 49 58 20 6f 72 0a 64 65 72 69 76 61 74 69 76 65 73 20 6c   ┆or 4.3 BSD UNIX or derivatives l┆
0x00a60…00a80 69 6b 65 20 53 75 6e 4f 53 2e 20 20 54 68 65 73 65 20 6c 61 70 73 65 73 20 61 6c 6c 6f 77 65 64   ┆ike SunOS.  These lapses allowed┆
0x00a80…00aa0 20 69 74 20 74 6f 20 63 6f 6e 6e 65 63 74 20 74 6f 0a 6d 61 63 68 69 6e 65 73 20 61 63 72 6f 73   ┆ it to connect to machines acros┆
0x00aa0…00ac0 73 20 61 20 6e 65 74 77 6f 72 6b 2c 20 62 79 70 61 73 73 20 74 68 65 69 72 20 6c 6f 67 69 6e 20   ┆s a network, bypass their login ┆
0x00ac0…00ae0 61 75 74 68 65 6e 74 69 63 61 74 69 6f 6e 2c 0a 63 6f 70 79 20 69 74 73 65 6c 66 20 61 6e 64 20   ┆authentication, copy itself and ┆
0x00ae0…00b00 74 68 65 6e 20 70 72 6f 63 65 65 64 20 74 6f 20 61 74 74 61 63 6b 20 73 74 69 6c 6c 20 6d 6f 72   ┆then proceed to attack still mor┆
0x00b00…00b20 65 20 6d 61 63 68 69 6e 65 73 2e 20 20 54 68 65 0a 6d 61 73 73 69 76 65 20 73 79 73 74 65 6d 20   ┆e machines.  The massive system ┆
0x00b20…00b40 6c 6f 61 64 20 77 61 73 20 67 65 6e 65 72 61 74 65 64 20 62 79 20 6d 75 6c 74 69 74 75 64 65 73   ┆load was generated by multitudes┆
0x00b40…00b60 20 6f 66 20 77 6f 72 6d 73 20 74 72 79 69 6e 67 0a 74 6f 20 70 72 6f 70 61 67 61 74 65 20 74 68   ┆ of worms trying to propagate th┆
0x00b60…00b80 65 20 65 70 69 64 65 6d 69 63 2e 0a 0a 20 20 20 20 20 54 68 65 20 49 6e 74 65 72 6e 65 74 20 68   ┆e epidemic.       The Internet h┆
0x00b80…00ba0 61 64 20 6e 65 76 65 72 20 62 65 65 6e 20 61 74 74 61 63 6b 65 64 20 69 6e 20 74 68 69 73 20 77   ┆ad never been attacked in this w┆
0x00ba0…00bc0 61 79 20 62 65 66 6f 72 65 2c 0a 61 6c 74 68 6f 75 67 68 20 74 68 65 72 65 20 68 61 64 20 62 65   ┆ay before, although there had be┆
0x00bc0…00be0 65 6e 20 70 6c 65 6e 74 79 20 6f 66 20 73 70 65 63 75 6c 61 74 69 6f 6e 20 74 68 61 74 20 61 6e   ┆en plenty of speculation that an┆
0x00be0…00c00 20 61 74 74 61 63 6b 20 77 61 73 0a 69 6e 20 73 74 6f 72 65 2e 20 20 4d 6f 73 74 20 73 79 73 74   ┆ attack was in store.  Most syst┆
0x00c00…00c20 65 6d 20 61 64 6d 69 6e 69 73 74 72 61 74 6f 72 73 20 77 65 72 65 20 75 6e 66 61 6d 69 6c 69 61   ┆em administrators were unfamilia┆
0x00c20…00c40 72 20 77 69 74 68 20 74 68 65 0a 63 6f 6e 63 65 70 74 20 6f 66 20 77 6f 72 6d 73 20 28 61 73 20   ┆r with the concept of worms (as ┆
0x00c40…00c60 6f 70 70 6f 73 65 64 20 74 6f 20 76 69 72 75 73 65 73 2c 20 77 68 69 63 68 20 61 72 65 20 61 20   ┆opposed to viruses, which are a ┆
0x00c60…00c80 6d 61 6a 6f 72 20 61 66 66 6c 2d 0a 69 63 74 69 6f 6e 20 6f 66 20 74 68 65 20 50 43 20 77 6f 72   ┆major affl- iction of the PC wor┆
0x00c80…00ca0 6c 64 29 20 61 6e 64 20 69 74 20 74 6f 6f 6b 20 73 6f 6d 65 20 74 69 6d 65 20 62 65 66 6f 72 65   ┆ld) and it took some time before┆
0x00ca0…00cc0 20 74 68 65 79 20 77 65 72 65 0a 61 62 6c 65 20 74 6f 20 65 73 74 61 62 6c 69 73 68 20 77 68 61   ┆ they were able to establish wha┆
0x00cc0…00ce0 74 20 77 61 73 20 67 6f 69 6e 67 20 6f 6e 20 61 6e 64 20 68 6f 77 20 74 6f 20 64 65 61 6c 20 77   ┆t was going on and how to deal w┆
0x00ce0…00d00 69 74 68 20 69 74 2e 0a 54 68 69 73 20 70 61 70 65 72 20 69 73 20 69 6e 74 65 6e 64 65 64 20 74   ┆ith it. This paper is intended t┆
0x00d00…00d20 6f 20 6c 65 74 20 70 65 6f 70 6c 65 20 6b 6e 6f 77 20 65 78 61 63 74 6c 79 20 77 68 61 74 20 68   ┆o let people know exactly what h┆
0x00d20…00d40 61 70 70 65 6e 65 64 0a 61 6e 64 20 68 6f 77 20 69 74 20 63 61 6d 65 20 61 62 6f 75 74 2c 20 73   ┆appened and how it came about, s┆
0x00d40…00d60 6f 20 74 68 61 74 20 74 68 65 79 20 77 69 6c 6c 20 62 65 20 62 65 74 74 65 72 20 70 72 65 70 61   ┆o that they will be better prepa┆
0x00d60…00d80 72 65 64 20 77 68 65 6e 0a 69 74 20 68 61 70 70 65 6e 73 20 74 68 65 20 6e 65 78 74 20 74 69 6d   ┆red when it happens the next tim┆
0x00d80…00da0 65 2e 20 20 54 68 65 20 62 65 68 61 76 69 6f 72 20 6f 66 20 74 68 65 20 77 6f 72 6d 20 77 69 6c   ┆e.  The behavior of the worm wil┆
0x00da0…00dc0 6c 20 62 65 20 65 78 61 6d 2d 0a 69 6e 65 64 20 69 6e 20 64 65 74 61 69 6c 2c 20 62 6f 74 68 20   ┆l be exam- ined in detail, both ┆
0x00dc0…00de0 74 6f 20 73 68 6f 77 20 65 78 61 63 74 6c 79 20 77 68 61 74 20 69 74 20 64 69 64 20 61 6e 64 20   ┆to show exactly what it did and ┆
0x00de0…00e00 64 69 64 6e 27 74 20 64 6f 2c 0a 61 6e 64 20 74 6f 20 73 68 6f 77 20 74 68 65 20 64 61 6e 67 65   ┆didn't do, and to show the dange┆
0x00e00…00e20 72 73 20 6f 66 20 66 75 74 75 72 65 20 77 6f 72 6d 73 2e 20 20 54 68 65 20 65 70 69 67 72 61 70   ┆rs of future worms.  The epigrap┆
0x00e20…00e40 68 20 61 62 6f 76 65 20 69 73 0a 6e 6f 77 20 69 72 6f 6e 69 63 2c 20 66 6f 72 20 74 68 65 20 61   ┆h above is now ironic, for the a┆
0x00e40…00e60 75 74 68 6f 72 20 6f 66 20 74 68 65 20 77 6f 72 6d 20 75 73 65 64 20 69 6e 66 6f 72 6d 61 74 69   ┆uthor of the worm used informati┆
0x00e60…00e80 6f 6e 20 69 6e 20 74 68 61 74 0a 70 61 70 65 72 20 74 6f 20 61 74 74 61 63 6b 20 73 79 73 74 65   ┆on in that paper to attack syste┆
0x00e80…00ea0 6d 73 2e 20 20 53 69 6e 63 65 20 74 68 65 20 69 6e 66 6f 72 6d 61 74 69 6f 6e 20 69 73 20 6e 6f   ┆ms.  Since the information is no┆
0x00ea0…00ec0 77 20 77 65 6c 6c 0a 6b 6e 6f 77 6e 2c 20 62 79 20 76 69 72 74 75 65 20 6f 66 20 74 68 65 20 66   ┆w well known, by virtue of the f┆
0x00ec0…00ee0 61 63 74 20 74 68 61 74 20 74 68 6f 75 73 61 6e 64 73 20 6f 66 20 63 6f 6d 70 75 74 65 72 73 20   ┆act that thousands of computers ┆
0x00ee0…00f00 6e 6f 77 20 68 61 76 65 0a 63 6f 70 69 65 73 20 6f 66 20 74 68 65 20 77 6f 72 6d 2c 20 69 74 20   ┆now have copies of the worm, it ┆
0x00f00…00f20 73 65 65 6d 73 20 75 6e 6c 69 6b 65 6c 79 20 74 68 61 74 20 74 68 69 73 20 70 61 70 65 72 20 63   ┆seems unlikely that this paper c┆
0x00f20…00f40 61 6e 20 64 6f 0a 73 69 6d 69 6c 61 72 20 64 61 6d 61 67 65 2c 20 62 75 74 20 69 74 20 69 73 20   ┆an do similar damage, but it is ┆
0x00f40…00f60 64 65 66 69 6e 69 74 65 6c 79 20 61 20 74 72 6f 75 62 6c 69 6e 67 20 74 68 6f 75 67 68 74 2e 20   ┆definitely a troubling thought. ┆
0x00f60…00f80 20 4f 70 69 6e 2d 0a 69 6f 6e 73 20 6f 6e 20 74 68 69 73 20 61 6e 64 20 6f 74 68 65 72 20 6d 61   ┆ Opin- ions on this and other ma┆
0x00f80…00fa0 74 74 65 72 73 20 77 69 6c 6c 20 62 65 20 6f 66 66 65 72 65 64 20 62 65 6c 6f 77 2e 0a 0a 5f 08   ┆tters will be offered below.  _ ┆
0x00fa0…00fc0 32 2e 20 20 5f 08 43 5f 08 68 5f 08 72 5f 08 6f 5f 08 6e 5f 08 6f 5f 08 6c 5f 08 6f 5f 08 67 5f   ┆2.  _ C_ h_ r_ o_ n_ o_ l_ o_ g_┆
0x00fc0…00fe0 08 79 0a 0a 20 20 20 20 52 65 6d 65 6d 62 65 72 2c 20 77 68 65 6e 20 79 6f 75 20 63 6f 6e 6e 65   ┆ y      Remember, when you conne┆
0x00fe0…01000 63 74 20 77 69 74 68 20 61 6e 6f 74 68 65 72 20 63 6f 6d 70 75 74 65 72 2c 20 20 79 6f 75 27 72   ┆ct with another computer,  you'r┆
0x01000…01020 65 0a 20 20 20 20 63 6f 6e 6e 65 63 74 69 6e 67 20 20 74 6f 20 65 76 65 72 79 20 63 6f 6d 70 75   ┆e     connecting  to every compu┆
0x01020…01040 74 65 72 20 74 68 61 74 20 63 6f 6d 70 75 74 65 72 20 68 61 73 20 63 6f 6e 6e 65 63 74 65 64 0a   ┆ter that computer has connected ┆
0x01040…01060 20 20 20 20 74 6f 2e 20 20 5b 44 65 6e 6e 69 73 20 4d 69 6c 6c 65 72 2c 20 6f 6e 20 4e 42 43 27   ┆    to.  [Dennis Miller, on NBC'┆
0x01060…01080 73 20 5f 08 53 5f 08 61 5f 08 74 5f 08 75 5f 08 72 5f 08 64 5f 08 61 5f 08 79 20 5f 08 4e 5f 08   ┆s _ S_ a_ t_ u_ r_ d_ a_ y _ N_ ┆
0x01080…010a0 69 5f 08 67 5f 08 68 5f 08 74 20 5f 08 4c 5f 08 69 5f 08 76 5f 08 65 5d 0a 1b 39 20 20 20 20 48   ┆i_ g_ h_ t _ L_ i_ v_ e]  9    H┆
0x010a0…010c0 65 72 65 20 69 73 20 74 68 65 20 67 69 73 74 20 6f 66 20 61 20 6d 65 73 73 61 67 65 20 49 20 67   ┆ere is the gist of a message I g┆
0x010c0…010e0 6f 74 3a 20 20 49 27 6d 20 20 73 6f 72 72 79 2e 20 20 20 5b 41 6e 64 79 0a 20 20 20 20 53 75 64   ┆ot:  I'm  sorry.   [Andy     Sud┆
0x010e0…01100 64 75 74 68 2c 20 20 69 6e 20 20 61 6e 20 20 61 6e 6f 6e 79 6d 6f 75 73 20 70 6f 73 74 69 6e 67   ┆duth,  in  an  anonymous posting┆
0x01100…01120 20 74 6f 20 74 68 65 20 54 43 50 2d 49 50 20 6c 69 73 74 20 6f 6e 0a 20 20 20 20 62 65 68 61 6c   ┆ to the TCP-IP list on     behal┆
0x01120…01140 66 20 6f 66 20 74 68 65 20 61 75 74 68 6f 72 20 6f 66 20 74 68 65 20 77 6f 72 6d 2c 20 31 31 2f   ┆f of the author of the worm, 11/┆
0x01140…01160 33 2f 38 38 5d 0a 0a 0a 20 20 20 20 20 4d 61 6e 79 20 64 65 74 61 69 6c 73 20 6f 66 20 74 68 65   ┆3/88]        Many details of the┆
0x01160…01180 20 63 68 72 6f 6e 6f 6c 6f 67 79 20 6f 66 20 74 68 65 20 61 74 74 61 63 6b 20 61 72 65 20 6e 6f   ┆ chronology of the attack are no┆
0x01180…011a0 74 20 79 65 74 0a 61 76 61 69 6c 61 62 6c 65 2e 20 20 54 68 65 20 66 6f 6c 6c 6f 77 69 6e 67 20   ┆t yet available.  The following ┆
0x011a0…011c0 6c 69 73 74 20 72 65 70 72 65 73 65 6e 74 73 20 64 61 74 65 73 20 61 6e 64 20 74 69 6d 65 73 20   ┆list represents dates and times ┆
0x011c0…011e0 74 68 61 74 20 77 65 0a 61 72 65 20 63 75 72 72 65 6e 74 6c 79 20 61 77 61 72 65 20 6f 66 2e 20   ┆that we are currently aware of. ┆
0x011e0…01200 20 54 69 6d 65 73 20 68 61 76 65 20 61 6c 6c 20 62 65 65 6e 20 72 65 6e 64 65 72 65 64 20 69 6e   ┆ Times have all been rendered in┆
0x01200…01220 20 50 61 63 69 66 69 63 0a 53 74 61 6e 64 61 72 64 20 54 69 6d 65 20 66 6f 72 20 63 6f 6e 76 65   ┆ Pacific Standard Time for conve┆
0x01220…01240 6e 69 65 6e 63 65 2e 0a 0a 31 31 2f 32 3a 20 31 38 30 30 20 28 61 70 70 72 6f 78 2e 29 0a 20 20   ┆nience.  11/2: 1800 (approx.)   ┆
0x01240…01260 20 20 20 20 20 20 20 20 20 20 20 20 54 68 69 73 20 64 61 74 65 20 61 6e 64 20 74 69 6d 65 20 77   ┆            This date and time w┆
0x01260…01280 65 72 65 20 73 65 65 6e 20 6f 6e 20 77 6f 72 6d 20 66 69 6c 65 73 20 66 6f 75 6e 64 20 6f 6e 0a   ┆ere seen on worm files found on ┆
0x01280…012a0 20 20 20 20 20 20 20 20 20 20 20 20 20 20 5f 08 70 5f 08 72 5f 08 65 5f 08 70 2e 5f 08 61 5f 08   ┆              _ p_ r_ e_ p._ a_ ┆
0x012a0…012c0 69 2e 5f 08 6d 5f 08 69 5f 08 74 2e 5f 08 65 5f 08 64 5f 08 75 2c 20 61 20 56 41 58 20 31 31 2f   ┆i._ m_ i_ t._ e_ d_ u, a VAX 11/┆
0x012c0…012e0 37 35 30 20 61 74 20 74 68 65 20 4d 49 54 20 41 72 74 69 66 69 63 69 61 6c 0a 0a 0a 1b 39 0a 0a   ┆750 at the MIT Artificial    9  ┆
0x012e0…01300 0a 0a 0a 0a 0a 0a 54 6f 75 72 20 6f 66 20 74 68 65 20 57 6f 72 6d 20 20 20 20 20 20 20 20 20 20   ┆      Tour of the Worm          ┆
0x01300…01320 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆                                ┆
0x01320…01340 20 20 20 20 20 20 33 0a 0a 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 49 6e 74 65 6c 6c 69 67   ┆      3                 Intellig┆
0x01340…01360 65 6e 63 65 20 4c 61 62 6f 72 61 74 6f 72 79 2e 20 20 54 68 65 20 66 69 6c 65 73 20 77 65 72 65   ┆ence Laboratory.  The files were┆
0x01360…01380 20 72 65 6d 6f 76 65 64 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 6c 61 74 65 72 2c 20 61 6e   ┆ removed               later, an┆
0x01380…013a0 64 20 74 68 65 20 70 72 65 63 69 73 65 20 74 69 6d 65 20 77 61 73 20 6c 6f 73 74 2e 20 20 53 79   ┆d the precise time was lost.  Sy┆
0x013a0…013c0 73 74 65 6d 20 6c 6f 67 2d 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 67 69 6e 67 20 6f 6e 20   ┆stem log-               ging on ┆
0x013c0…013e0 5f 08 70 5f 08 72 5f 08 65 5f 08 70 20 68 61 64 20 62 65 65 6e 20 62 72 6f 6b 65 6e 20 66 6f 72   ┆_ p_ r_ e_ p had been broken for┆
0x013e0…01400 20 74 77 6f 20 77 65 65 6b 73 2e 20 20 54 68 65 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 73   ┆ two weeks.  The               s┆
0x01400…01420 79 73 74 65 6d 20 64 6f 65 73 6e 27 74 20 72 75 6e 20 61 63 63 6f 75 6e 74 69 6e 67 20 61 6e 64   ┆ystem doesn't run accounting and┆
0x01420…01440 20 74 68 65 20 64 69 73 6b 73 20 61 72 65 6e 27 74 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆ the disks aren't               ┆
0x01440…01460 62 61 63 6b 65 64 20 75 70 20 74 6f 20 74 61 70 65 3a 20 61 20 70 65 72 66 65 63 74 20 74 61 72   ┆backed up to tape: a perfect tar┆
0x01460…01480 67 65 74 2e 20 20 41 20 6e 75 6d 62 65 72 20 6f 66 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20   ┆get.  A number of               ┆
0x01480…014a0 60 60 74 6f 75 72 69 73 74 27 27 20 75 73 65 72 73 20 28 69 6e 64 69 76 69 64 75 61 6c 73 20 75   ┆``tourist'' users (individuals u┆
0x014a0…014c0 73 69 6e 67 20 70 75 62 6c 69 63 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 61 63 63 6f 75 6e   ┆sing public               accoun┆
0x014c0…014e0 74 73 29 20 77 65 72 65 20 72 65 70 6f 72 74 65 64 20 74 6f 20 62 65 20 61 63 74 69 76 65 20 74   ┆ts) were reported to be active t┆
0x014e0…01500 68 61 74 20 65 76 65 6e 69 6e 67 2e 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 54 68 65 73 65   ┆hat evening.               These┆
0x01500…01520 20 75 73 65 72 73 20 77 6f 75 6c 64 20 68 61 76 65 20 61 70 70 65 61 72 65 64 20 69 6e 20 74 68   ┆ users would have appeared in th┆
0x01520…01540 65 20 73 65 73 73 69 6f 6e 20 6c 6f 67 2d 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 67 69 6e   ┆e session log-               gin┆
0x01540…01560 67 2c 20 62 75 74 20 73 65 65 20 62 65 6c 6f 77 2e 0a 0a 31 31 2f 32 3a 20 31 38 32 34 20 20 20   ┆g, but see below.  11/2: 1824   ┆
0x01560…01580 20 46 69 72 73 74 20 6b 6e 6f 77 6e 20 57 65 73 74 20 43 6f 61 73 74 20 69 6e 66 65 63 74 69 6f   ┆ First known West Coast infectio┆
0x01580…015a0 6e 3a 20 5f 08 72 5f 08 61 5f 08 6e 5f 08 64 2e 5f 08 6f 5f 08 72 5f 08 67 20 61 74 20 52 61 6e   ┆n: _ r_ a_ n_ d._ o_ r_ g at Ran┆
0x015a0…015c0 64 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 43 6f 72 70 2e 20 69 6e 20 53 61 6e 74 61 20 4d   ┆d               Corp. in Santa M┆
0x015c0…015e0 6f 6e 69 63 61 2e 0a 0a 31 31 2f 32 3a 20 31 39 30 34 20 20 20 20 5f 08 63 5f 08 73 5f 08 67 5f   ┆onica.  11/2: 1904    _ c_ s_ g_┆
0x015e0…01600 08 77 2e 5f 08 62 5f 08 65 5f 08 72 5f 08 6b 5f 08 65 5f 08 6c 5f 08 65 5f 08 79 2e 5f 08 65 5f   ┆ w._ b_ e_ r_ k_ e_ l_ e_ y._ e_┆
0x01600…01620 08 64 5f 08 75 20 69 73 20 69 6e 66 65 63 74 65 64 2e 20 20 54 68 69 73 20 6d 61 63 68 69 6e 65   ┆ d_ u is infected.  This machine┆
0x01620…01640 20 69 73 20 61 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 6d 61 6a 6f 72 20 6e 65 74 77 6f 72   ┆ is a               major networ┆
0x01640…01660 6b 20 67 61 74 65 77 61 79 20 61 74 20 55 43 20 42 65 72 6b 65 6c 65 79 2e 20 20 4d 69 6b 65 20   ┆k gateway at UC Berkeley.  Mike ┆
0x01660…01680 4b 61 72 65 6c 73 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 61 6e 64 20 50 68 69 6c 20 4c 61   ┆Karels               and Phil La┆
0x01680…016a0 70 73 6c 65 79 20 64 69 73 63 6f 76 65 72 20 74 68 65 20 69 6e 66 65 63 74 69 6f 6e 20 73 68 6f   ┆psley discover the infection sho┆
0x016a0…016c0 72 74 6c 79 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 61 66 74 65 72 77 61 72 64 2e 0a 0a 31   ┆rtly               afterward.  1┆
0x016c0…016e0 31 2f 32 3a 20 31 39 35 34 20 20 20 20 5f 08 6d 5f 08 69 5f 08 6d 5f 08 73 5f 08 79 2e 5f 08 75   ┆1/2: 1954    _ m_ i_ m_ s_ y._ u┆
0x016e0…01700 5f 08 6d 5f 08 64 2e 5f 08 65 5f 08 64 5f 08 75 20 69 73 20 61 74 74 61 63 6b 65 64 20 74 68 72   ┆_ m_ d._ e_ d_ u is attacked thr┆
0x01700…01720 6f 75 67 68 20 69 74 73 20 5f 08 66 5f 08 69 5f 08 6e 5f 08 67 5f 08 65 5f 08 72 0a 20 20 20 20   ┆ough its _ f_ i_ n_ g_ e_ r     ┆
0x01720…01740 20 20 20 20 20 20 20 20 20 20 73 65 72 76 65 72 2e 20 20 54 68 69 73 20 6d 61 63 68 69 6e 65 20   ┆          server.  This machine ┆
0x01740…01760 69 73 20 61 74 20 74 68 65 20 55 6e 69 76 65 72 73 69 74 79 20 6f 66 20 4d 61 72 79 2d 0a 20 20   ┆is at the University of Mary-   ┆
0x01760…01780 20 20 20 20 20 20 20 20 20 20 20 20 6c 61 6e 64 20 43 6f 6c 6c 65 67 65 20 50 61 72 6b 20 43 6f   ┆            land College Park Co┆
0x01780…017a0 6d 70 75 74 65 72 20 53 63 69 65 6e 63 65 20 44 65 70 61 72 74 6d 65 6e 74 2e 0a 0a 31 31 2f 32   ┆mputer Science Department.  11/2┆
0x017a0…017c0 3a 20 32 30 30 30 20 28 61 70 70 72 6f 78 2e 29 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 53   ┆: 2000 (approx.)               S┆
0x017c0…017e0 75 6e 73 20 61 74 20 74 68 65 20 4d 49 54 20 41 49 20 4c 61 62 20 61 72 65 20 61 74 74 61 63 6b   ┆uns at the MIT AI Lab are attack┆
0x017e0…01800 65 64 2e 0a 0a 31 31 2f 32 3a 20 32 30 32 38 20 20 20 20 46 69 72 73 74 20 5f 08 73 5f 08 65 5f   ┆ed.  11/2: 2028    First _ s_ e_┆
0x01800…01820 08 6e 5f 08 64 5f 08 6d 5f 08 61 5f 08 69 5f 08 6c 20 61 74 74 61 63 6b 20 6f 6e 20 6d 69 6d 73   ┆ n_ d_ m_ a_ i_ l attack on mims┆
0x01820…01840 79 2e 0a 0a 31 31 2f 32 3a 20 32 30 34 30 20 20 20 20 42 65 72 6b 65 6c 65 79 20 73 74 61 66 66   ┆y.  11/2: 2040    Berkeley staff┆
0x01840…01860 20 66 69 67 75 72 65 20 6f 75 74 20 74 68 65 20 5f 08 73 5f 08 65 5f 08 6e 5f 08 64 5f 08 6d 5f   ┆ figure out the _ s_ e_ n_ d_ m_┆
0x01860…01880 08 61 5f 08 69 5f 08 6c 20 61 6e 64 20 5f 08 72 5f 08 73 5f 08 68 0a 20 20 20 20 20 20 20 20 20   ┆ a_ i_ l and _ r_ s_ h          ┆
0x01880…018a0 20 20 20 20 20 61 74 74 61 63 6b 73 2c 20 6e 6f 74 69 63 65 20 5f 08 74 5f 08 65 5f 08 6c 5f 08   ┆     attacks, notice _ t_ e_ l_ ┆
0x018a0…018c0 6e 5f 08 65 5f 08 74 20 61 6e 64 20 5f 08 66 5f 08 69 5f 08 6e 5f 08 67 5f 08 65 5f 08 72 20 70   ┆n_ e_ t and _ f_ i_ n_ g_ e_ r p┆
0x018c0…018e0 65 63 75 6c 69 61 72 69 74 69 65 73 2c 0a 20 20 20 20 20 20 20 20 20 20 20 20 20 20 61 6e 64 20   ┆eculiarities,               and ┆
0x018e0…01900 73 74 61 72 74 20 73 68 75 74 74 69 6e 67 20 74 68 65 73 65 20 73 65 72 76 69 63 65 73 20 6f 66   ┆start shutting these services of┆
0x01900…01920 66 2e 0a 0a 31 31 2f 32 3a 20 32 30 34 39 20 20 20 20 5f 08 63 5f 08 73 2e 5f 08 75 5f 08 74 5f   ┆f.  11/2: 2049    _ c_ s._ u_ t_┆
[…truncated at 200 lines…]