home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / SMEGUPD1.ZIP / BBINTERV.IEW < prev    next >
Text File  |  1995-05-19  |  22KB  |  394 lines
  1.  
  2.                            ANATOMY OF A VIRUS AUTHOR
  3.  
  4.  
  5.                         A biography of The Black Baron
  6.  
  7.  
  8.                                       By 
  9.                                 
  10.  
  11.                                 Matthew Probert
  12.  
  13.  
  14.  
  15.  
  16. In 1969 Neil Armstrong stepped onto the moon. It was a momentous year for the 
  17. world. But no-one at the time paid much attention to a baby boy being born in 
  18. a town in southern England. This baby boy was destined to grow into one of the 
  19. most infamous computer virus writers of all time. In 1969 The Black Baron was 
  20. born!
  21.  
  22. The Black Baron never set out to become a computer virus writer. He left 
  23. school at sixteen with a handful of CSE's and a burning desire to be a 
  24. commercial airline pilot. He enjoyed swimming and science fiction comedy 
  25. shows, such as Red Dwarf, and did all the things that any normal, healthy 
  26. young man would do. He learnt to drive, passed his driving test and settled 
  27. down to several years unemployed.
  28.  
  29. He is at pains to point out that he is not a thug, he does not have any 
  30. criminal convictions;
  31.  
  32. "I don't even have a point on my driving licence" he laughs, when asked about 
  33. criminal activities.
  34.  
  35. And yet what inspires a normal, healthy, well balanced young man to create the 
  36. ultimate in computer terrosism, a polymorphic computer virus?
  37.  
  38. In examining Black Baron's motives one must consider his state of mind. Is he 
  39. a shy, withdrawn individual who has problems with inter-personal relationships 
  40. perhaps? No is the answer. He is not the cliche of a computer programmer. He 
  41. owns a single second-hand Tandon 286 PC with an Amstrad monitor, and a rather 
  42. old and modest modem.
  43.  
  44. "I don't even like computer programming!" he says when asked about it.
  45.  
  46. Perhaps however he is upset by his unemployment? An individual with his 
  47. obvious and undeniable talent must surely feel some resentment at being 
  48. unemployed. But he doesn't blame the computer industry directly, he certainly 
  49. does resent the "old school tie" attitude which is so prevalent in England 
  50. today, and he blames the Conservative government for doing much to reinforce 
  51. this approach to employment.
  52.  
  53. "I don't wear the right colour tie" he says.
  54.  
  55. The inspiration to create a computer virus came to Black Baron after he read 
  56. Ross M. Greenberg's comments about computer virus authors. Mr Greenberg, the 
  57. American author of an anti-virus product called "Flu Shot" is very scathing 
  58. and critical of people who write computer viruses. Indeed the introduction to 
  59. the instruction manual which accompanies Flu Shot is preoccupied with 
  60. questioning the emotional stability of the people who write computer viruses. 
  61. I quote:
  62.  
  63.                                   Introduction
  64.  
  65.         What is a Trojan?
  66.         =================
  67.  
  68.         Back in the good old days (before there were computers), there 
  69.         was this bunch of soldiers who had no chance of beating a 
  70.         superior force or of even making it into their fortress.  They 
  71.         had this nifty idea:  present the other side with a gift.  Once 
  72.         the gift had been accepted, soldiers hiding within the gift would 
  73.         sneak out and overtake the enemy from within.
  74.  
  75.         We can only think of the intellectual giants of the day who would 
  76.         accept a gift large enough to house enemy soldiers without 
  77.         checking its contents.  Obviously, they had little opportunity to 
  78.         watch old WWII movies to see the same device used over and over 
  79.         again.  They probably wouldn't have appreciated Hogan's Heroes 
  80.         anyway.  No color TV's -- or at least not ones with reliable 
  81.         reception.
  82.  
  83.         Consider the types of people who would be thrilled at the concept 
  84.         of owning their own rough hewn, large wooden horse!  Perhaps they 
  85.         wanted to be the first one on their block, or something silly 
  86.         like that.
  87.  
  88.         Anyway, you're all aware of the story of The Trojan Horse.
  89.  
  90.         Bringing ourselves a bit closer to the reality we've all grown to 
  91.         know and love, there's a modern day equivalent:  getting a gift 
  92.         from your BBS or user group which contains a little gem which 
  93.         will attack your hard disk, destroying whatever data it contains.
  94.  
  95.         In order to understand how a potentially useful program can cause 
  96.         such damage when corrupted by some misguided soul, it's useful to 
  97.         understand how your disk works, and how absurdly easy it is to 
  98.         cause damage to the data contained thereon.  So, a brief 
  99.         technical discussion of the operation of your disk is in order.  
  100.         For those who aren't concerned, turn the page or something.
  101.  
  102.         Data is preserved on a disk in a variety of different physical 
  103.         ways having to do with how the data is encoding in the actual 
  104.         recording of that data. The actual *structure* of that data, 
  105.         however, is the same between MS-DOS machines.  Other operating 
  106.         systems have a different structure, but that doesn't concern us 
  107.         now.
  108.  
  109.         Each disk has a number of "tracks". These are sometimes called 
  110.         cylinders from the old type IBMer's.  These are the same people 
  111.         who call hard disks DASDs (Direct Access Storage Devices), so we 
  112.         can safely ignore their techno-speak, and just call them tracks.  
  113.         Tracks can be thought of as the individual little grooves on an 
  114.         audio record, sort of.
  115.  
  116.         Anyway, each track is subdivided into a number of sectors.  Each 
  117.         track has the same number of sectors.  Tracks are numbered, as 
  118.  
  119.         are sectors.  Any given area on the disk can be accessed if a 
  120.         request is made to read or write data into or out of Track-X, 
  121.         Sector Y.  The read or write command is given to the disk 
  122.         controller, which is an interface between the computer itself and 
  123.         the hard disk.  The controller figures out what commands to send 
  124.         to the hard disk,  the hard disk responds and the data is read or 
  125.         written as directed.
  126.  
  127.         The first track on the hard disk typically will contain a small 
  128.         program which is read from the hard disk and executed when you 
  129.         first power up your machine.  The power up sequence is called 
  130.         "booting" your machine, and therefore the first track is typical 
  131.         known as the "boot track".
  132.  
  133.         In order to read information from your disk in a logical 
  134.         sequence, there has to be some sort of index.  An unusual index 
  135.         method was selected for MS-DOS.  Imagine going to the card index 
  136.         in a library, looking up the title you desire, and getting a 
  137.         place in another index which tells you where on the racks where 
  138.         the book is stored.  Now, when you read the book, you discover 
  139.         that only the first chapter of the book is there.  In order to 
  140.         find the next chapter of the book, you have to go back to that 
  141.         middle index, which tells you where the next chapter is stored.  
  142.         This process continues until you get to the end of the book.  
  143.         Sounds pretty convoluted, right?  You bet!  However, this is 
  144.         pretty much how MS-DOS does its "cataloguing" of files.
  145.  
  146.         The directory structure of MS-DOS allows for you to look up an 
  147.         item called the "first cluster".  A cluster represents a set of 
  148.         contiguous ("touching or in contact" according to Random House) 
  149.         tracks and sectors.  It is the smallest amount of information 
  150.         which the file structure of MS-DOS knows how to read or write.
  151.  
  152.         Based on the first cluster number as stored in the directory, the 
  153.         first portion of a file can be read.  When the information 
  154.         contained therein is exhausted, MS-DOS goes to that secondary 
  155.         index for a pointer to the next cluster.  That index is called 
  156.         the File Allocation Table, commonly abbreviated to "FAT".  The 
  157.         FAT contains an entry for each cluster on the disk.  An FAT entry 
  158.         can have a few values: ones which indicate that the cluster is 
  159.         unused, another which indicates that the associated cluster has 
  160.         been damaged somehow and that it should be marked as a "bad 
  161.         cluster", and a pointer to the next cluster for a given file.  
  162.         This allows for what is called a linked list:  once you start 
  163.         looking up clusters associated with a given file, each FAT entry 
  164.         tells you what the next cluster is.  At the end of the linked 
  165.         list is a special indicator which indicates that there are no 
  166.         more clusters associated with the file.
  167.  
  168.         There are actually two copies of the FAT stored on your disk, but 
  169.         no one really knows what the second copy was intended for.  
  170.         Often, if the first copy of the FAT is corrupted for some reason, 
  171.         a clever programmer could recover information from the second 
  172.         copy to restore to the primary FAT.  These clever programmers can 
  173.         be called "hackers", and should not be confused with the thieves 
  174.  
  175.         who break into computer systems and steal things, or the "worms" 
  176.         [Joanne Dow gets credit for *that* phrase!] who would get joy out 
  177.         of causing you heartache!
  178.  
  179.         But that heartache is exactly what can happen if the directory 
  180.         (which contains the pointer to the first cluster a file uses), 
  181.         the FAT (which contains that linked list to other areas on the 
  182.         disk which the file uses), or other areas of the disk get 
  183.         corrupted.
  184.  
  185.         And that's what the little worms who create Trojan programs do:  
  186.         they cause what at first appears to be a useful program to 
  187.         eventually corrupt the important parts of your disk.  This can be 
  188.         as simple as changing a few bytes of data, or can include wiping 
  189.         entire tracks clean.
  190.  
  191.         Not all programs which write to your hard disk are bad ones, 
  192.         obviously.  Your word processor, spreadsheet, database and 
  193.         utility programs have to write to the hard disk.  Some of the DOS 
  194.         programs (such as FORMAT), if used improperly, can also erase 
  195.         portions of your hard disk causing you massive amounts of grief.  
  196.         You'd be surprised what damage the simple "DEL" command can do 
  197.         with just a simple typo.
  198.  
  199.         But, what defines a Trojan program is its delivery mechanism: the 
  200.         fact that you're running something you didn't expect.  Typical 
  201.         Trojan programs cause damage to your data, and were designed to 
  202.         do so by the worms who writhe in delight at causing this damage.  
  203.         May they rot in hell -- a mind is a terrible thing to waste!
  204.  
  205.         Considering the personality required to cause such damage, you 
  206.         can rest assured that they have few friends, and even their 
  207.         mother doesn't like to be in the same room with them.  They sit 
  208.         back and chortle about the damage they do with a few other lowly 
  209.         worms.  This is their entire social universe. You should pity 
  210.         them.  I know that I do.
  211.  
  212.         What is a Virus?
  213.         ================
  214.  
  215.         Trojan programs are but a delivery mechanism, as stated above.  
  216.         They can be implemented in a clever manner, so that they only 
  217.         trigger the malicious part on a certain date, when your disk 
  218.         contains certain information or whatever.  However they're coded, 
  219.         though, they typically affect the disk only in a destructive 
  220.         manner once triggered.
  221.  
  222.         A new breed of programs has the capability of not only reserving 
  223.         malicious damage for a given event's occurrence, but of also 
  224.         replicating itself as well.
  225.  
  226.         This is what people refer to when they mention the term "Virus 
  227.         Program".
  228.  
  229.         Typically, a virus will spread itself by replicating a portion of 
  230.         itself onto another program.  Later, when that normally safe 
  231.         program is run it will, in part, execute a set of instructions 
  232.         which will infect other programs and then potentially, trigger 
  233.         the Trojan portion of the program contained within the virus.
  234.  
  235.         The danger of the virus program is twofold. First, it contains a 
  236.         Trojan which will cause damage to your hard disk.  The second 
  237.         danger is the reason why everyone is busy building bomb shelters.  
  238.         This danger is that the virus program will infect other programs 
  239.         and they in turn will infect other programs and so forth.  Since 
  240.         it can also infect programs on your floppy disks, you could 
  241.         unknowingly infect other machines!  Pretty dangerous stuff, 
  242.         alright!
  243.  
  244.         Kenneth van Wyck, one of the computer folks over at Lehigh 
  245.         University, first brought a particular virus to the attention of 
  246.         the computer community.  This virus infects a program, which 
  247.         every MS-DOS computer must have, called COMMAND.COM.  This is the 
  248.         Command Line Interpreter and is the interface between your 
  249.         keyboard and the MS-DOS operating system itself.  Whatever you 
  250.         type at the C: prompt will be interpreted by it.
  251.  
  252.         Well, the virus subverts this intended function, causing the 
  253.         infection of neighboring COMMAND.COMs before continuing with 
  254.         normal functionality of the command you typed.  After a certain 
  255.         number of "infections", the Trojan aspect of the program goes 
  256.         off, causing you to lose data.
  257.  
  258.         The programmer was clever.  But still a worm.  And still 
  259.         deserving of contempt instead of respect.  Think of what good 
  260.         purposes the programmer could have put his or her talents to 
  261.         instead of creating this damage.  And consider what this 
  262.         programmer must do, in covering up what they've done.  They 
  263.         certainly can't tell anyone what they've accomplished.  
  264.         Justifiable homicide comes to mind, but since the worms they must 
  265.  
  266.         hang around are probably as disreputable as they are, they must 
  267.         hold their little creation a secret.
  268.  
  269.         A pity.  Hopefully, the worm is losing sleep.  Or getting a sore 
  270.         neck looking behind them wondering which of their "friends" are 
  271.         gonna turn them in for the reward I list towards the end of this 
  272.         document.
  273.  
  274.         The Challenge to the Worm
  275.         =========================
  276.  
  277.         When I first released a program to try to thwart their demented 
  278.         little efforts, I published this letter in the archive (still in 
  279.         the FLU_SHOT+ archive of which this is a part of).  What I say in 
  280.         it still holds:
  281.  
  282.                     As for the designer of the virus program: most 
  283.                     likely an impotent adolescent, incapable of 
  284.                     normal social relationships, and attempting to 
  285.                     prove their own worth to themselves through 
  286.                     these type of terrorist attacks.
  287.  
  288.                     Never succeeding in that task (or in any 
  289.                     other), since they have no worth, they will one 
  290.                     day take a look at themselves and what they've 
  291.                     done in their past, and kill themselves in 
  292.                     disgust.  This is a Good Thing, since it saves 
  293.                     the taxpayers' money which normally would be 
  294.                     wasted on therapy and treatment of this 
  295.                     miscreant.
  296.  
  297.                     If they *really* want a challenge, they'll try 
  298.                     to destroy *my* hard disk on my BBS, instead of 
  299.                     the disk of some innocent person.  I challenge 
  300.                     them to upload a virus or other Trojan horse to 
  301.                     my BBS that I can't disarm.  It is doubtful the 
  302.                     challenge will be taken: the profile of such a 
  303.                     person prohibits them from attacking those who 
  304.                     can fight back.  Alas, having a go with this  
  305.                     lowlife would be amusing for the five minutes 
  306.                     it takes to disarm whatever they invent.
  307.  
  308.                     Go ahead, you good-for-nothing little 
  309.                     slimebucket:  make *my* day!
  310.  
  311.  
  312.         Alas, somebody out there opted to do the cowardly thing and to 
  313.         use the FLUSHOT programs as a vehicle for wrecking still more 
  314.         destruction on people like you.  The FLUSHOT3 program was 
  315.         redistributed along with a companion program to aid you in 
  316.         reading the documentation.  It was renamed FLUSHOT4.  And the 
  317.         reader program was turned into a Trojan itself.
  318.  
  319.         I guess the programmer involved was too cowardly to take me up on 
  320.         my offer and prefers to hurt people not capable of fighting back.  
  321.         I should have known that, I suppose, but I don't normally think 
  322.         of people who attack innocents. Normally, I think of people to 
  323.         respect, not people to pity, certainly not people who must cause 
  324.         such damage in order to "get off".
  325.  
  326.         They are below contempt, obviously, and can do little to help 
  327.         themselves out of the mire they live in.
  328.  
  329.         Still, a worm is a worm.
  330.  
  331.  
  332. Insensed by what he saw as the narrow, biggoted attitude of the author, our
  333. young man, then twenty four years old, decided to write a program which would 
  334. infect other other computer programs and more than that. One which would with 
  335. each infection change its form so as to avoid detection by Flu Shot and other 
  336. virus scanners. At christmas 1993, Pathogen was completed. One month later 
  337. SMEG 0.1 was included and the first SMEG virus hit the computer world. 
  338.  
  339. In Febuary 1994 Black Baron, as the author was calling himself, released a 
  340. subsequent computer virus. Queeg. This time he updated the polymorphic engine 
  341. (SMEG) into version 0.2.
  342.  
  343. Shortly aftwerwards the Thunderbyte anti-virus software underwent a major new 
  344. release, with verion 6.20 which in fairness detects 96% of SMEG version 0.1 
  345. and version 0.2 infections. Unfortunately, the author's of Thunderbyte suffer 
  346. from the same arrogance as Mr Greenberg. They have widely boasted that their 
  347. new virus scanner can detect any polymorphic viruses. Needless to say this is 
  348. seen as a challenge by Black Baron. And being an Englishman, he can't resist a 
  349. challenge. It is not surprising to learn then, that as I write this in June 
  350. 1994 Black Baron is just finishing off SMEG version 0.3 which is completely 
  351. undetectable by any current virus scanner, including Thunderbyte release 6.20. 
  352.  
  353. I ask myself when is this is all going to end? Perhaps when computer users 
  354. become sufficiently educated to be able to use the equipment at their 
  355. disposal. Perhaps when computers stop attracting social inadequates, but whom 
  356. I am refering to the arrogant members of the anti-virus lobby as well as the 
  357. nefarious virus authors. But what of the Black Baron? What is he? Is he a 
  358. malicious criminal? A computer terrorist? A social inadequate trying to 
  359. reassure himself of his own inadequacies through destroying computer data? I 
  360. don't belive so. I have spoken to Black Baron on a number of occassions. He is 
  361. happy to discuss his work, and, at my request, he has even released a document 
  362. detailing the design of SMEG. He doesn't feed on the panic and fear that SMEG 
  363. viruses such as Pathogen and Queeg cause. Rather he revels in the 
  364. embarrasement and panic which his software causes the arrogant anti-virus 
  365. writers.                      
  366.  
  367. It is quite questionable whether Black Baron was sensible in taking this 
  368. course of action. It does appear that he has adopted a "I'll show you" 
  369. attitude. But it is equally obvious that the real villian is the person who 
  370. caused the trouble in the first place, Mr Greenberg and his arrogant and 
  371. biggoted view. You still don't believe me? Okay, as a finale let me say this. 
  372. Black Baron knows that I write anti-virus software. He knew this before he 
  373. gave me an interview. And knowing that I write anti-virus software he provided 
  374. me with the source code of Pathogen, Queeg and SMEG so that I might improve my 
  375. anti-virus software. He even supplied me with software which creats safe SMEG 
  376. encrypted programs for testing purposes. These are not the actions of a mad 
  377. man. These are the actions of a man who just wants to be respected for what he 
  378. is. A damn hot programmer. 
  379.  
  380. After talking with him, I understand the Black Baron. I feel sorry for him as 
  381. well. He is a highly gifted individual who has not been given a chance by 
  382. computer society. So he has made his own chance. We all need recognition. 
  383. Mainly through employment, but we as thinking machines must receive 
  384. recognition for our abilities. Otherwise we sink into melancholy and 
  385. paranoida. Black Baron has received his recognition. We, the computer society 
  386. are responsible for the creation of Pathogen, Queeg, SMEG and all the other 
  387. computer viruses. We have no one to blame but ourselves. It is our desire to 
  388. keep the computer fraternity a closed club which has alienated so many of our 
  389. colleagues. By rubbing their noses in it, so to speak, we have begged for 
  390. trouble, and like the inhabitants of Troy, we have received it.
  391.  
  392. Matthew Probert
  393. Servile Software
  394.