home *** CD-ROM | disk | FTP | other *** search
/ SuperHack / SuperHack CD.bin / CODING / CPP / CPC.ZIP / VIRUS.DOC < prev    next >
Encoding:
Text File  |  1996-01-06  |  20.9 KB  |  533 lines
  1.  
  2.     Geist Microsystems                           CodePrint for C/C++
  3.  
  4.  
  5.  
  6.  
  7.  
  8.     C o d e P r i n t   f o r   C / C + +
  9.  
  10.     V e r s i o n   2 . x x
  11.  
  12.     C o m p u t e r   V i r u s   M y t h s
  13.  
  14.  
  15.  
  16.  
  17.  
  18.     Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg       
  19.  
  20.  
  21.     by  Rob Rosenberger 
  22.     with  Ross M. Greenberg
  23.  
  24.  
  25.     A number of myths have popped up recently about the threat of 
  26.     computer "viruses".  There are myths about how widespread they 
  27.     are, how dangerous they are, and even myths about what a 
  28.     computer virus really is.  We'd like the facts to be known.
  29.  
  30.     The first thing to learn is that a virus is a malicious 
  31.     programming technique falling in the realm of "Trojan horses."  
  32.     All viruses are Trojan horses, but few Trojan horses can be 
  33.     called a virus.
  34.  
  35.     That having been said, it's time to go over the terminology we 
  36.     use when we lecture:
  37.  
  38.     BBS:
  39.     ----
  40.     Bulletin Board System.  If you have a modem, you can call a BBS 
  41.     and leave messages, transfer computer files back & forth, and 
  42.     learn a lot about computers.  (What you're reading right now, 
  43.     for example, most likely came to you from a BBS.)
  44.  
  45.  
  46.     Bug:
  47.     ----
  48.     An accidental flaw in the logic of a program which makes it do 
  49.     things it shouldn't really be doing.  Programmers don't mean to 
  50.     put bugs in their program, but they always creep in.  
  51.     Programmers tend to spend more time debugging their programs 
  52.     than they do writing them in the first place.  Inadvertent bugs 
  53.     have caused more data loss than all the viruses combined.
  54.  
  55.  
  56.  
  57.  
  58.  
  59.     Computer Virus Myths                                 Page 1 of 9
  60.  
  61.     Geist Microsystems                           CodePrint for C/C++
  62.  
  63.  
  64.     Hacker:
  65.     -------
  66.     Someone who really loves computers and who wants to push them to 
  67.     the limit.  Hackers have a healthy sense of curiosity: they try 
  68.     doorknobs just to see if they're locked, and they tinker with a 
  69.     piece of equipment until it's "just right."  The computer 
  70.     revolution itself is a result of hackers.
  71.  
  72.     Shareware:
  73.     ----------
  74.     A distribution method for quality software available on a "try 
  75.     before you buy" basis.  You pay for the program only if you find 
  76.     it useful.  Shareware programs can be downloaded from BBSs and 
  77.     you are encouraged to give evaluation copies to friends.  Many 
  78.     shareware applications rival the power of off-the-shelf 
  79.     counterparts, at just a fraction of the price.  (You must pay 
  80.     for the shareware you continue to use ── otherwise you're 
  81.     stealing software.)
  82.  
  83.     Trojan Horse:
  84.     -------------
  85.     A generic term describing a set of computer instructions 
  86.     purposely hidden inside a program.  Trojan horses tell a program 
  87.     to do things you don't expect it to do.  The term comes from a 
  88.     legendary battle in which the ancient city of Troy was offered 
  89.     the "gift" of a large wooden horse that secretly held soldiers 
  90.     in its belly.  The Trojans rolled it into their fortified city...
  91.  
  92.     Virus:
  93.     ------   
  94.     A term for a very specialized Trojan horse which spreads to 
  95.     other computers by secretly "infecting" programs with a copy of 
  96.     itself.  A virus is the only type of Trojan horse which is 
  97.     contagious, like the common cold.  If it doesn't meet this 
  98.     definition, then it isn't a virus.
  99.  
  100.     Worm:
  101.     -----
  102.     A term similar to a Trojan horse, but there is no "gift" 
  103.     involved.  If the Trojans had left that wooden horse outside the 
  104.     city, they wouldn't have been attacked.  Worms, on the other 
  105.     hand, can bypass your defenses without having to deceive you 
  106.     into dropping your guard.  An example is a program designed to 
  107.     spread itself by exploiting bugs in a network software package.  
  108.     Worms are usually released by someone who has normal access to a 
  109.     computer or network.
  110.  
  111.     Wormers the name given to the people who unleash destructive 
  112.     Trojan horses.  Let's face it, these people aren't angels.  What 
  113.     they do hurts us.  They deserve our disrespect.
  114.  
  115.  
  116.  
  117.  
  118.     Computer Virus Myths                                 Page 2 of 9
  119.  
  120.     Geist Microsystems                           CodePrint for C/C++
  121.  
  122.  
  123.     Viruses, like all Trojan horses, are purposely designed to make 
  124.     a program do things you don't expect it to do.  Some viruses are 
  125.     just an annoyance, perhaps only displaying a "Peace on earth" 
  126.     greeting.  The viruses we're worried about are designed to 
  127.     destroy your data (the most valuable asset of your computer!) 
  128.     and waste your valuable time in recovering from an attack.
  129.  
  130.     Now you know the difference between a virus and a Trojan horse 
  131.     and a bug.  Let's get into some of the myths:
  132.  
  133.     - "All purposely destructive code comes as a virus."  
  134.     Wrong.  Remember, "Trojan horse" is the general term for 
  135.     purposely destructive code.  Very few Trojan horses are actually 
  136.     viruses.
  137.  
  138.     - "Viruses and Trojan horses are a recent phenomenon."
  139.     Trojan horses have been around since the first days of the 
  140.     computer.  Hackers toyed with viruses in the early 1960s as a 
  141.     form of amusement.  Many different Trojan horse techniques were 
  142.     developed over the years to embezzle money, destroy data, etc.  
  143.     The general public wasn't aware of this problem until the IBM PC 
  144.     revolution brought it out into the spotlight.  Banks were still 
  145.     covering up computerized embezzlements six years ago because 
  146.     they believed they'd lose customers if word got out.
  147.  
  148.     - "Viruses are written by hackers." 
  149.     Yes, hackers have written viruses.  So has a computer magazine 
  150.     publisher.  Trojan horses were written for decades by middle-
  151.     aged men wearing business suits.  We call people "wormers" when 
  152.     they abuse their knowledge of computers.  You shouldn't be 
  153.     afraid of hackers just because they know how to write viruses.  
  154.     This is an ethics issue, not a technology issue.  Hackers know a 
  155.     lot about computers; wormers abuse this knowledge.  Hackers (as 
  156.     a whole) got a bum rap when the mass media corrupted the term.
  157.  
  158.     - "Computer viruses are reaching epidemic proportions."
  159.     Wrong again.  Viruses may be spread all over the planet but they 
  160.     won't take over the world.  There are about 150 or so known 
  161.     "strains" at this time and some of them have been completely 
  162.     eliminated.  Your chances of being infected are slim if you take 
  163.     the proper precautions.  Yes, it's still safe to turn on your 
  164.     computer!
  165.  
  166.     - "Viruses could destroy all the files on my disks."
  167.     Yes, and a spilled cup of coffee will do the same thing.  If you
  168.     have adequate backup copies of your data, you can recover from 
  169.     any virus/coffee attack.  Backups mean the difference between a 
  170.     nuisance and a disaster.  It is safe to presume there has been
  171.     more accidental loss of data than loss by viruses and Trojan 
  172.     horses.
  173.  
  174.  
  175.  
  176.  
  177.     Computer Virus Myths                                 Page 3 of 9
  178.  
  179.     Geist Microsystems                           CodePrint for C/C++
  180.  
  181.  
  182.     - "Viruses have been documented on over 400,000 computers."
  183.     This statistic comes from John McAfee, a self-styled virus 
  184.     fighter who seems to come up with all the quotes the media love 
  185.     to hear.  If you assume it takes five minutes to adequately 
  186.     document a viral infection, you have to wonder where Mr. McAfee 
  187.     got almost four man-years to document a problem which is less 
  188.     than four years old.  We further assume his statistics include 
  189.     every floppy disk ever infected with a virus, as well as all of 
  190.     the computers participating in the Christmas & InterNet worm 
  191.     attacks.  (Worms cannot be included in virus infection 
  192.     statistics.)  The press doesn't really understand computer 
  193.     crimes, so they tend to call almost anything a virus.
  194.  
  195.     - "Viruses can be hidden inside a data file."
  196.     Data files can't wreak havoc on your computer ── only an 
  197.     executable program file can do that.  If a virus were to infect 
  198.     a data file, it would be a wasted effort.  But let's be 
  199.     realistic: what you think is 'data' may actually be an 
  200.     executable program file.  For example, batch files are text 
  201.     files, yet the MSDOS operating system treats them like a program.
  202.  
  203.     - "Most BBSs are infected with viruses."
  204.     Here's another scary myth drummed up in the big virus panic.  
  205.     Very few BBSs are really infected.  It's possible a dangerous 
  206.     file may be available on a BBS but it doesn't mean the BBS 
  207.     itself is infected.  If a BBS were knowingly infected with a 
  208.     virus, it wouldn't stay open too long after word got out, would 
  209.     it?
  210.  
  211.     - "BBSs and shareware programs spread viruses."
  212.     "The truth," says PC Magazine publisher Bill Machrone, "is that 
  213.     all major viruses to date were transmitted by [retail] packages 
  214.     and private mail systems, often in universities."  (PC Magazine, 
  215.     October 11, 1988.) 
  216.  
  217.     The Peace virus, for example, made its way into a retail product 
  218.     sold to thousands of customers.  Machrone goes on to say 
  219.     "bulletin boards and shareware authors work extraordinarily hard 
  220.     at policing themselves to keep viruses out."  Reputable sysops 
  221.     check every file for Trojan horses; nation-wide sysop networks 
  222.     help spread the word about dangerous files.  You should be wary 
  223.     of the software you get from BBSs, that's true ── but you should
  224.     also be wary of the software you get from store shelves.  (By 
  225.     the way, some stores now have return policies for software.  Do 
  226.     you know for sure you were the first person to use those master 
  227.     disks?)
  228.  
  229.  
  230.  
  231.  
  232.  
  233.  
  234.  
  235.  
  236.     Computer Virus Myths                                 Page 4 of 9
  237.  
  238.     Geist Microsystems                           CodePrint for C/C++
  239.  
  240.  
  241.     - "My computer could be infected if I call an infected BBS."
  242.     BBSs can't write information on your disks ── that's handled by 
  243.     the communications software you use.  You can only transfer a 
  244.     dangerous file if you let your software do it.  (This might be 
  245.     different if your computer is hooked up to a network, but it 
  246.     requires special hardware & software.)  And there is no "300bps 
  247.     subcarrier" that lets a virus slip through a high speed modem.  
  248.     The rumor was started by a joker named Mike RoChenle (IBM's 
  249.     "micro channel" PS/2 architecture, get it?) who left a techy-
  250.     joke message on a public BBS.  Unfortunately, a few highly 
  251.     respected journalists were taken in by this joke.
  252.  
  253.     - "My files are damaged, so it must have been a virus attack."
  254.     It also could have been caused by a power flux, or static 
  255.     electricity, or a fingerprint on a floppy disk, or a bug in your 
  256.     software, or perhaps a simple error on your part.  Power 
  257.     failures and spilled cups of coffee have destroyed more data 
  258.     than all the viruses combined.
  259.  
  260.     - "Donald Burleson was convicted of releasing a virus."
  261.     A recent Texas computer crime trial was hailed all over the 
  262.     country as a "virus" trial.  Donald Burleson was in a position 
  263.     to release a complex, destructive worm on his employer's 
  264.     mainframe computer.  This particular worm couldn't spread to 
  265.     other computers, so it couldn't possibly have been a virus.  
  266.     Davis McCown, the prosecuting attorney, claims he "never brought
  267.     up the word virus" in the trial.  So why did the media call it 
  268.     one?
  269.         
  270.     1. David Kinney, a witness testifying for the defense (oddly 
  271.        enough), claimed he believed Burleson unleashed a virus.  
  272.        The prosecuting attorney didn't argue the point and we don't 
  273.        blame him ── Kinney's bizarre claim probably helped sway the 
  274.        jury to convict Burleson, and it was the defense's fault for 
  275.        letting him testify.
  276.  
  277.     2. McCown gives reporters the facts behind the case and lets 
  278.        them come up with their own definitions.  The Associated 
  279.        Press and USA Today, among others, used such vague 
  280.        definitions that any program could be called a virus.  If we 
  281.        applied their definitions to the medical world, we could
  282.        safely claim penicillin is a biological virus (which is, of 
  283.        course, absurd).
  284.  
  285.     3. McCown claims many quotes attributed to him "are misleading 
  286.        or fabricated" and identified one in particular which "is 
  287.        total fiction."  Reporters sometimes print a quote out of 
  288.        context, and McCown apparently fell victim to it.  (It's 
  289.        possible a few bizarre quotes from David Kinney or John 
  290.        McAfee were accidentally attributed to McCown.)
  291.  
  292.  
  293.  
  294.  
  295.     Geist Microsystems                                   Page 5 of 9
  296.  
  297.  
  298.  
  299.     - "Robert Morris Jr. released a benign virus on a defense 
  300.     network."  It may have been benign, but it wasn't a virus.  
  301.     Morris, the son of a chief computer scientist at the National 
  302.     Security Agency, allegedly became bored and took advantage of a 
  303.     bug in the Defense Department's networking software.  This tiny 
  304.     bug let him send a worm through the network.  Among other 
  305.     things, Morris's "InterNet" worm was able to send copies of 
  306.     itself to other computers in the network.  Due to some bugs in 
  307.     the worm module itself, the network became clogged in a matter 
  308.     of hours.  The press originally called it a "virus," like it 
  309.     called the Christmas worm a virus, because it spread to other 
  310.     computers.  Yet it didn't infect any computers.  A few notes:
  311.  
  312.     1. Reporters finally started calling it a worm (a year after the
  313.        fact), but only because lawyers in the case were constantly 
  314.        referring to it as such.  The difference between a worm and a 
  315.        virus is subtle, but profound.
  316.  
  317.     2. This worm worked only on Sun-3 & Vax computers which run a 
  318.        UNIX operating system and were specifically linked into the 
  319.        InterNet network at the time.
  320.  
  321.     3. The 6,200 affected computers cannot be counted in any virus 
  322.        infection statistics (they weren't infected).
  323.  
  324.     4. It cost way less than $96 million to clean up the attack.  An 
  325.        official Cornell University report claims the group behind 
  326.        this wild estimate "was probably serving itself" in an effort 
  327.        to drum up business.  People familiar with the case estimated 
  328.        the final figure to be under $1 million.
  329.  
  330.     5. Yes, Morris could easily have added some infection code to 
  331.        make it a worm/virus if he'd had the urge.
  332.  
  333.     6. The network bug exploited in the attack has since been fixed.
  334.  
  335.     7. Morris went to trial for launching the InterNet worm and was 
  336.        recently handed a federal conviction.
  337.  
  338.     - "Viruses can spread to all sorts of computers."
  339.     All Trojan horses are limited to a family of computers, and this 
  340.     is especially true for viruses.  A virus designed to spread on 
  341.     IBM PCs cannot infect an IBM 4300-series mainframe, nor can it 
  342.     infect a Commodore C64, nor can it infect an Apple MacIntosh.
  343.  
  344.     - "My backups will be worthless if I back up a virus."
  345.     No, they won't.  Let's suppose a virus does get backed up with 
  346.     your files.  You can restore important documents and databases 
  347.     without restoring an infected program.  You just reinstall 
  348.     programs from master disks.  It's tedious work but it's not as 
  349.     hard as people claim.
  350.  
  351.  
  352.  
  353.  
  354.     Computer Virus Myths                                 Page 6 of 9
  355.  
  356.     Geist Microsystems                           CodePrint for C/C++
  357.  
  358.  
  359.     - "Anti-virus software will protect me from viruses."
  360.     There is no such thing as a foolproof anti-virus program: Trojan 
  361.     horses and viruses can be (and have been) designed to bypass 
  362.     them.  Anti-virus products themselves can be tricky to use at 
  363.     times.  You may make a crucial mistake deciding whether to let a 
  364.     "flagged" event occur.  Your first line of defense should always 
  365.     be a good set of backups.  Anti-virus software is a good second 
  366.     line of defense.
  367.  
  368.     - "Read-only files are safe from virus infections."
  369.     This is a common myth among IBM PC users, and it has even been 
  370.     published (erroneously) in some computer magazines.  Supposedly, 
  371.     you can protect yourself by using the DOS ATTRIB command to set 
  372.     the read-only attribute on program files.  However, ATTRIB is 
  373.     software ── and what it can do, a virus can undo.  The ATTRIB 
  374.     command seldom halts the spread of viruses.
  375.  
  376.     - "Viruses can infect files on write-protected disks."
  377.     Here's another common IBM PC myth.  If viruses can modify read-
  378.     only files, people assume they can modify write-protected 
  379.     floppies.  What they don't realize is the disk drive itself 
  380.     knows when a floppy is protected and refuses to write to it.  
  381.     You can physically disable the drive's sensor but you can't 
  382.     override it with a software command.
  383.  
  384.     We hope this dispels the many computer virus myths.  Viruses DO 
  385.     exist, many of them will destroy files, and all of them can 
  386.     spread to other computers.  But you can defend yourself with a 
  387.     cool head and a good set of backups.
  388.  
  389.     The following guidelines can shield you from Trojan horses and 
  390.     viruses.  They will lower your chances of being infected and 
  391.     raise your chances of recovering from an attack.
  392.  
  393.     1. Set up a procedure to regularly back up your files and 
  394.        follow it religiously.  Consider purchasing a user-friendly 
  395.        program to take the drudgery out of this task.  (There are 
  396.        plenty to choose from.)
  397.  
  398.     2. Rotate between at least two sets of backups for better 
  399.        security (use set #1, then set #2, then set #1...).  The more 
  400.        sets you use, the better protected you are.  Many people take 
  401.        a "master" backup of their entire hard disk, then take 
  402.        "incremental" backups of those files which changed since the 
  403.        last time they backed up.  Incremental backups might only 
  404.        require five minutes of your time each day.
  405.  
  406.     3. Download files only from reputable BBSs where the sysop 
  407.        checks every program for Trojan horses.  If you're still 
  408.        afraid, consider getting programs from a BBS or "disk vendor" 
  409.        company which gets them direct from the authors.
  410.  
  411.  
  412.  
  413.     Computer Virus Myths                                 Page 7 of 9
  414.  
  415.     Geist Microsystems                           CodePrint for C/C++
  416.  
  417.  
  418.     4. Let newly uploaded files "mature" on a BBS for one or two 
  419.        weeks before you download it (others will put it through 
  420.        it's paces).
  421.  
  422.     5. Consider using a program that creates a unique "signature" of 
  423.        all the programs on your computer.  Run this program once in 
  424.        awhile to see if any of your applications have been modified 
  425.        ── either by a virus or by a stray gamma ray.
  426.  
  427.     6. DON'T PANIC if your computer starts acting weird.  It may be 
  428.        a virus, but then again maybe not.  Immediately turn off all 
  429.        power to your computer and disconnect it from any local area 
  430.        networks.  Reboot from a write-protected copy of your master 
  431.        DOS disk.  Do NOT run any programs on a "regular" disk (you 
  432.        might activate a Trojan horse).  If you don't have adequate 
  433.        backups, try to bring them up to date.  Yes, you might back 
  434.        up a virus as well, but it can't hurt you if you don't use 
  435.        your normal programs.  Set your backups off to the side.  
  436.        Only then can you safely hunt for problems.
  437.  
  438.     7. If you can't figure out what's wrong and you aren't sure what 
  439.        to do next, turn off your computer and call for help.  
  440.        Consider calling a local computer group before you call for 
  441.        an expert.  If you need a professional, consider a regular 
  442.        computer consultant first.  Some "virus removal experts" sell 
  443.        their services for prices far in excess of their actual value.
  444.  
  445.     8. [This should only be considered as a last resort.]  If you 
  446.        can't figure out what's wrong and you are sure of yourself, 
  447.        execute both a low-level and a high-level format on all your 
  448.        regular disks.  Next, carefully reinstall all software from 
  449.        the master disks (not from the backups).  Then, carefully 
  450.        restore only the data files (not the program files) from your 
  451.        backup disks.
  452.  
  453.     We'd appreciate it if you would mail us a copy of any Trojan 
  454.     horse or virus you discover.  (Be careful you don't damage the 
  455.     data on your hard disk while trying to do this!)  Include as 
  456.     much information as you can and put a label on the disk saying 
  457.     it contains a malicious program.  Send it to Ross M. Greenberg, 
  458.     594 Third Avenue, New York, NY 10016.  Thank you.
  459.  
  460.     Ross M. Greenberg is the author of both shareware and retail 
  461.     virus detection programs.  Rob Rosenberger is the author of 
  462.     various phone bill analysis applications.  (Products are not 
  463.     mentioned by name because this isn't the place for 
  464.     advertisements.)  They each write for national computer 
  465.     magazines.  These men communicated entirely by modem while 
  466.     writing this treatise.
  467.  
  468.     Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg
  469.  
  470.  
  471.  
  472.     Computer Virus Myths                                 Page 8 of 9
  473.  
  474.     Geist Microsystems                           CodePrint for C/C++
  475.  
  476.  
  477.     Rosenberger can be reached electronically on CompuServe as 
  478.     [74017,1344], on GEnie as R.ROSENBERGE, on InterNet as 
  479.     `74017.1344@compuserve.com', and on various national BBS linkups.  
  480.     Greenberg can be reached on MCI and BIX as `greenber', on UseNet 
  481.     as `c-rossgr@microsoft.com', and on CompuServe as [72461,3212].
  482.  
  483.     You may give copies of this to anyone if you pass it along in 
  484.     its entirety.  Publications may reprint this for free if they 
  485.     obtain prior written permission.  Write to Rob Rosenberger, P.O.
  486.     Box 643, O'Fallon, IL 62269.
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506.  
  507.  
  508.  
  509.  
  510.  
  511.  
  512.  
  513.  
  514.  
  515.  
  516.  
  517.  
  518.  
  519.  
  520.  
  521.  
  522.  
  523.  
  524.  
  525.  
  526.  
  527.  
  528.  
  529.  
  530.  
  531.     Computer Virus Myths                                 Page 9 of 9
  532.  
  533.