home *** CD-ROM | disk | FTP | other *** search

---

/ HPAVC / HPAVC CD-ROM.iso / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO010.TXT

< prev

next >

Wrap

Text File  |  1996-05-01  |  18KB  |  346 lines

---

1. TEGWAR: THE EXCITING GAME WITHOUT ANY RULES -or- COMPUTER VIRUS
2. FUNNY BUSINESS WITH WINWORD DOCUMENTS
3.  
4. In the baseball move "Bang the Drum Slowly" actor Michael Moriarty
5. plays a star pitcher who, in cahoots with one of his team's managers,
6. scams baseball groupies and assorted chumps out of their money with
7. a card game they call TEGWAR. TEGWAR isn't a game, it's a con in
8. which Moriarty and a cohort dupe people into falling for a pigeon
9. drop where they make up a mystifying set of rules masked by the ruse
10. of a legitimate card game.  Of course, since no one can win a game
11. with no logical rules, Moriarty - or his accomplice - always pocket
12. the designated pigeon's betting money. When Moriarty's friend, a
13. dim-witted catcher played by Robert DeNiro, comes down with Hodgkin's
14. Disease, Moriarty finally lets him on the excellent secret of
15. The Exciting Game Without Any Rules, TEGWAR.
16.  
17.                                   *
18.  
19.        "DoD is dripping in Word Concept virus . . . "
20.  
21.                    -- An excitable fellow and insider who would
22.                       rather not be named.
23.  
24.                                   *
25.  
26. Crypt Newsletter is now going to let you in the secret of one of the
27. software industry's latest versions of TEGWAR: the dilemma of the
28. Microsoft Winword viruses.
29.  
30. Taking advantage of the nature of Microsoft's Word for Windows, the
31. Winword viruses exploit an automatic function embedded in special
32. Microsoft Word documents.  What this boils down to is that executable
33. instructions buried within documents prepared by Microsoft Word can be
34. written to perform the basic function of a computer virus: Make a copy of
35. itself and attach itself to another target. In this case, Winword
36. documents.
37.  
38. Designed to execute commands or executive routines embedded in
39. special documents - called .DOT files - Word has proved an excellent
40. culture dish in which to breed simple computer viruses.  Because of
41. reasons which include the large installed user base of WinWord,
42. the way people promiscuously share documents produced by it, the
43. outwardly innocuous nature of the Word Concept virus (the most common
44. of the "macro viruses") and the lack of prompt interest in the
45. problem by Microsoft, the "macro virus" problem has run out of control.
46.  
47. A recent press release by the National Computer Security Association
48. stated even Microsoft has been snakebit by Winword viruses.
49. Predictably, this has led to a great deal of spilt blood in institutions
50. blind-sided by rapid distribution of the virus.
51.  
52. However, the idea of "macro viruses" wasn't surprising. Back in 1993
53. Crypt Newsletter published just such a virus for the Telix PC
54. communications program. [1]  It infected other Telix sub-programs --
55. called scripts - which were simple lists of commands recorded into
56. files and executed on-the-fly by Telix. An example of this type of
57. sub-program, or script, could be one that called CompuServe and
58. retrieved personal electronic mail.
59.  
60. As it was written, the Telix script virus, named LittleMess, quickly
61. flashed a Stoned virus-type message on the screen, "Legalise Marijuana."
62. The possibility of this type of computer virus was also addressed by
63. examples written elsewhere in computer security circles predating
64. even then.  However, LittleMess and others like it remained extremely
65. obscure curiosities. Winword viruses are anything but.
66.  
67.  
68. PART II: LOTSA CONSIDERATION
69.  
70.                                  *
71.  
72.        "Thank you very much, <put your name here>, for your thoughts.
73.        This is something I've been giving a lot of consideration of
74.        late. Sincerely, Bill."
75.                     ---Bill Gates form reply to electronic mail.
76.                     [Uncovered by David Applefield, March 1996]
77.  
78.                                  *
79.  
80.  
81. What has been a surprise about Word macro viruses is the industry
82. response to them.  To understand the absurd nature of it, Crypt must
83. construct a parable minus the jargon and baffle-speak used in the
84. usual generic attempts to describe the Word "macro virus" problem.
85.  
86. Now, for the sake of our story, let's pretend for a moment that
87. Microsoft manufactures VCR's instead of operating system and business
88. office software.  Microsoft has a dominant share of the market and has
89. just made a new model VCR. This model isn't significantly fancier than
90. the previous model -- just newer with some bells and whistles that
91. are nice but not absolutely essential.
92.  
93. Of course, lots of people immediately buy these VCR's and start playing
94. rented videotapes in them.  Someone who's tinkering around or has
95. too much time on his hands, discovers that if he makes a minor,
96. almost invisible change or scratch in the plastic case of a rented
97. tape, it introduces a problem into the new VCR.  This scratch makes
98. a part called the frammis fail. The frammis is put slightly out of
99. line and whacks the videotape housing and an adjacent part, called
100. the neo-frammis, also inside the VCR.  This doesn't ruin the
101. videotape but it puts the same scratch into it, if it didn't have it
102. already. After a day, maybe a week, maybe longer -- development of
103. the frammis/neo-frammis whacking makes tapes being played show
104. up intermittently during play with an annoying white mistracking line
105. on the TV. No amount of fiddling with the tracking adjustment on the
106. VCR will fix it. Our tinkerer thinks this is clever and he's feeling
107. mean so he rents a tape - the most popular title, something like
108. "Busty Babes of the Bayou," "The Toolbox Murders" or "Forrest Gump" -
109. from Blockbuster. He puts the scratch in the videotape's housing and
110. returns it.
111.  
112. Now it has the potential to spread to everyone who has the Microsoft
113. VCR and rents this tape in the region.
114.  
115. Months later Microsoft VCR owners are calling the company in outrage.
116. Their VCR's are screwed up and local repairmen don't know what to
117. do.
118.  
119. [Now, in one possible world, Microsoft issues a massive recall,
120. identifies and solves the problem, and returns new, different
121. VCR's not susceptible to the problem to consumers.  End of the
122. frammis/scratch problem except for those people who for some reason or
123. another don't follow the recall.  Eventually, they stop using the
124. VCR or buy a different brand.  Microsoft takes a big financial hit
125. for the quarter, but - hey - it's part of the business.]
126.  
127. However, in our world Microsoft sends a pack of cheap screwdrivers,
128. a replacement frammis that sometimes doesn't work and instructions
129. on how to fix the VCR printed on a paper the size of a chewing gum
130. wrapper.  The instructions are written in Pig Latin. Quite naturally,
131. a lot of people can't fix the problem.
132.  
133. Other industry vendors rush to provide a solution.  They supply a set
134. of slightly less cheap screwdrivers, a replacement frammis that
135. works 75 percent of the time and instructions printed on a paper
136. that's the size of a legal pad but which no one bothers to read,
137. anyway.
138.  
139. More and more Microsoft VCR's play all screwed up but no one
140. seems too concerned.  They keep buying the model. Everyone is
141. trained to use this model of VCR and they won't switch models because
142. they're afraid they won't be able to use other VCR's and will lose
143. the ability to rent and enjoy videotapes.
144.  
145. Microsoft even issues a few thousand free sample tapes that are
146. messed up with the frammis-buggering case flaw. This spreads the
147. problem even further -- generally to people who have VCR's that aren't
148. already messed up with it.
149.  
150. Eventually, well-meaning but clueless techno-geeks at Lawrence
151. Livermore National Lab issue a product advisory on the VCR.  It
152. describes the problem and a new one that's slightly different
153. but more hazardous.  The new one makes the frammis and neo-frammis
154. misbehave so wildly a big spark comes out of the front of the VCR,
155. frying the circuitry and ruining the VCR. Since the rental tape that
156. introduces the problem melts when this happens and cannot be returned
157. it never spreads as far.
158.  
159. The Lawrence Livermore National Lab memo reaches a lot of
160. people but 90 percent don't read it because it's too long. They
161. will only read things that don't exceed a half page or a screenful
162. of information. The Livermore National Lab warning [2] is pages and
163. pages of daunting techno-gobble. The ten percent that persist in
164. reading to the end have trouble grasping it because of language
165. like this:
166.  
167. "If you don't have the Microsoft cheap screwdriver and replacement
168. frammis set, you can use the Organizo-frammis to find and remove
169. the broken Frammis without making things worse. The first step is to
170. start the VCR and open the Organizo-frammis box. There are two ways
171. to open the Organizo-frammis box: 1. use the Tools Neo-Frammis
172. and press the Organizo-frammis; 2. use the File Omega-frammis
173. and depress the Organizo-frammis. In the Organizo-frammis box,
174. flip the Frammis switch, click the Open Frammis button, locate the
175. malfunctioning frammis and neo-frammis and close everything up.  Back
176. in the Organizo-frammis box, select all the Frammises listed
177. in the file Omega-frammis and flick the off button to remove them.
178. Flick the Close Omega-frammis switch to install the new Frammis.
179. The Frammis is now fixed."
180.  
181. Frustrated, many home owners and businesses can't deal
182. with the Frammis problem-plagued VCR from Microsoft. While it's possible
183. to fix the contagious frammis scratch, bureaucratic entropy, apathy,
184. confusion and institutional impediments inevitably result in failure
185. because:
186.  
187. (1) Many victims of it cannot understand how the fix is to be made.
188. The national lab warning was terrifying in its difficulty to understand.
189. Microsoft's cheap screwdriver set doesn't work very well.
190.  
191. (2) Many victims don't have the time or expertise to fix the VCR right
192. so the de-frammis'd VCR becomes re-frammis'd very quickly -- about
193. as soon as they rent another videotape with the same contagious scratch
194. on it. This often happens two or three times before victims junk the
195. damn thing.
196.  
197. (3) Some victims bought a different frammis repair set from another
198. vendor but it only works part of the time or if they decide to use it.
199. Mostly they don't use it, though, because they don't care about their
200. frammis'd VCR.
201.  
202. (4) Many victims' bosses won't let them fix the frammis'd VCR because
203. it would cost money. Besides, says the boss, "We have someone whose
204. job it is to fix these things, thank you! But he doesn't answer
205. voice-mail today or was skinned by an ogre, I'm not sure which. Now
206. stop bothering me or I'll downsize you the next time we massage the
207. stock price for our shareholders."
208.  
209. (5) Or, victims think the frammis'd VCR is how all VCR's are supposed
210. to be.
211.  
212. A year later Microsoft markets a new, improved VCR not as susceptible
213. to the problem but the people who have the old, brokedown VCR's don't
214. get any trade value. They have to pay Microsoft just like everyone
215. else does. So some just stumble on with their crippled VCR's.  Some
216. other VCR manufacturers who previously made VCR's that worked fine
217. all the time make new models capable of being screwed up as badly as
218. the Microsoft model even though they've known about the problem and
219. laughed at it for some time. This is called progress.
220.  
221. Now, if you retell Crypt's story to someone else we can here them
222. shout: "Hey, that's crazy!  No way that could happen or they'd burn
223. people at the stake in those companies."
224.  
225. However, with a little cut and paste you can just plug Word viruses
226. back into the place where I put "frammis" and Word 6 for "VCR." Now
227. they'll say: "Yeah, it really stinks, but what can we do?"
228.  
229. This makes the Word "macro viruses" an almost perfect example of
230. TEGWAR - an exciting game without any rules - in the software industry.
231. The consumer or PC user in an institution uses Microsoft Winword
232. and is largely unaware that specific electronic documents handled
233. by it have the potential to bite him.  Microsoft ignores the
234. phenomenon just long enough so it becomes solidly established
235. then generates a "fix" that works poorly and which must be
236. embroidered by other vendors.  Still more software developers
237. jump into the breach with cures and advice - which take money - and
238. that don't guarantee anything because they are poorly understood,
239. poorly designed or a combination of the two.
240.  
241. Those trapped in Word macro virus TEGWAR lose money trying to
242. burrow through the electronic trash heaps of on-line services,
243. sifting and downloading information and software they can't
244. understand most of the time. They twist and turn in a seemingly
245. endless maze, buying software only to find it's the wrong software
246. for them. Squirming, they buy the correct software only to find
247. an obdurate supervisor won't let them use it throughout the
248. institution.
249.  
250. Increasingly aggravated, those infected by Word virus TEGWAR sometimes
251. see that pathogenic documents have the potential to spread the viruses
252. in interesting ways through heterogenous combinations of machines and
253. software with only one thing in common: Word's micro-environment.
254. But they also find that anti-virus software designed to control
255. infections is not quite so flexible.
256.  
257. Goaded by the lash of fragmentary, gossipy on-line electronic
258. phlogiston passed on as the biblical wisdom of computer gurus,
259. others trapped by Word virus TEGWAR run about in a blind frenzy
260. searching for Word "macro virus" protective software until realizing
261. in a moment of stunning clarity that they don't _use_ Winword!
262.  
263. So, the only rule that is a constant in Word virus TEGWAR is that
264. if you play, you lose cash money.
265.  
266.  
267.                                 *
268.  
269.        "Thank you very much, <put your name here>, for your thoughts.
270.        This is something I've been giving a lot of consideration of
271.        late. Sincerely, Bill."
272.                     ---Bill Gates form reply to electronic mail.
273.                     [Uncovered by David Applefield, March 1996]
274.  
275.                                 *
276.  
277.  
278. Additional notes:
279.  
280. 1. The virus written for the Telix communications program was
281. originally called LittleMess. It was programed by a Dutch virus-writer
282. who travelled cyberspace under the handle of Crom-Cruach. Crom-Cruach
283. reasoned LittleMess was of only trivial interest because he thought few
284. people used the programming language interpreted by the Telix program
285. -- which his computer virus exploited -- for anything important.  The
286. name of the programming language interpreted by the Telix software is
287. SALT.  Hang in there because this is a point of serendipitous interest.
288.  
289. The US Navy also runs (or ran) telecommunications software it
290. calls - you guessed it -- SALTS. The Navy's SALTS terminal is a simple
291. Windows or DOS-running PC using little more than an off-the-shelf version
292. of Telix driven by a series of custom made Telix sub-programs (or "macros")
293. that create an elaborate communications system for the computer. The
294. SALTS program is an acronym for Streamlined Automated Logistical
295. Transmission System. The SALTS software used on Navy PC's is responsible
296. for logistical support and satellite-borne communications jobs ranging
297. through inventory and tracking of ship stock, software
298. management/distribution, Internet sessions and the sending and receiving
299. of electronic mail and USO telegrams. Since the software running on the
300. SALTS terminal is written in the same programming language exploited by
301. the LittleMess Telix virus, the SALTS PC can be easily infected by it.
302. In the average Telix-using hobbyist PC envisioned by the hacker
303. Crom-Cruach in 1993, this amounted to barely a few infections of
304. predominantly non-essential computer files. However, on an average US
305. Navy SALTS computer terminal, the same virus would create a much more
306. massive infection since the military's software relies on hundreds of
307. sub-program files that could serve as hosts for LittleMess.
308.  
309. 2. The following text appeared in a Lawrence Livermore National Lab
310. alert on Word Macro viruses.  It was supposed to be a clear
311. tutorial on ridding yourself of the Word macro viruses by hand.
312. No, Crypt Newsletter isn't tweezing it for effect:
313.  
314. "If you don't have a scanner or the protection macro, you can use the
315. Organizer to find and remove macro viruses without infecting your
316. system. The first step is to start Word and open the Organizer dialog
317. box. There are two ways to open the Organizer: 1. use the Tools Macro
318. command and press the Organizer button; 2. use the File Templates
319. command and press the Organizer button. In the Organizer dialog box
320. click the macros tab, click the Open File button, select the infected
321. document and click OK. Back in the Organizer dialog box, select all the
322. macros listed in the file and click the Delete button to remove them.
323. Click the Close File button to close and save the file. The file can now
324. be opened normally."
325.  
326. Crypt Newsletter challenges PC "help desk" employees to read that to
327. someone over the telephone.
328.  
329. Here's some more strangled syntax from the same memo:
330.  
331. "PROBLEM:     Word macro viruses are no longer an isolated threat, but
332. they are a significant hazard to the information on a computer."
333.  
334. In fairness, the Lawrence Livermore National Lab memo, also known
335. as "CIAC (Computer Incident Advistory Capability) G-10: Winword Macro
336. Viruses," is an honest attempt to get some information on
337. a real computer hazard into as many hands as possible.  It's also
338. possible for someone with good powers of concentration and a
339. middling-to-exceptional grasp of PC computing systems to wring
340. useful information from it.  However, more and more, these types
341. of bulletins serve only to emphasize the disastrous point that the
342. average PC user in the home or business environment and the people
343. generating the technology very rarely speak language that is mutually
344. understood. That's a gold-plated guarantor for interesting times.
345.  
346.