home *** CD-ROM | disk | FTP | other *** search

---

/ Magnum One / Magnum One (Mid-American Digital) (Disc Manufacturing).iso / d26 / pclearn5.arc / PCL.ARC / VIRUS.TUT

< prev

next >

Wrap

Text File  |  1991-02-12  |  23KB  |  413 lines

---

1.  
2.        ████████████████████████████████████████████████████████████████ 
3.  
4.                       VIRUS WARFARE: THE NOVEMBER MESSAGE 
5.  
6.        ████████████████████████████████████████████████████████████████ 
7.  
8.        Interesting stories sometimes begin with a touch of horror. 
9.        Technological terror is so much more invigorating when the plot 
10.        is true and the author real . . . 
11.  
12.        Imagine you are a computer operator at a local college on a 
13.        crisp November afternoon. It is Monday and you have finished 
14.        running a routine payroll data processing job which will print 
15.        employee paychecks on Friday. You decide to check messages on 
16.        the University computer network which links colleges and 
17.        Universities throughout America. At 4:15 PM the following 
18.        message flashes onto your screen. This message is NOT fictional. 
19.        The dates and people are REAL: 
20.  
21.        Monday, 30 November 1987   BITNET computer network - URGENT 
22.  
23.        FROM: Kenneth R. Van Wyk, User Services Senior Consultant, 
24.        Lehigh University Computing Center   (215)-758-4988 
25.        <LUKEN@LEHIIBM1.BITNET>  <LUKEN@VAX1.CC.LEHIGH.EDU> {RISKS-FORUM 
26.        Digest    Volume 5 : Issue 67} 
27.  
28.        Last week, some of our student consultants discovered a virus 
29.        program that's been spreading rapidly throughout Lehigh 
30.        University.  I thought I'd take a few minutes and warn as many 
31.        of you as possible about this program since it has the chance of 
32.        spreading much farther than just our University.  We have no 
33.        idea where the virus started, but some users have told me that 
34.        other universities have recently had similar problems. 
35.  
36.        The virus: the virus itself is contained in the stack space of 
37.        COMMAND.COM. When a PC is booted from an infected disk, all a 
38.        user need do to spread the virus is to access another disk via 
39.        TYPE, COPY, DIR, etc.  If the other disk contains COMMAND.COM, 
40.        the virus code is copied to the other disk.  Then, a counter is 
41.        incremented on the parent.  When this counter reaches a value of 
42.        4, any and every disk in the PC is erased thoroughly. The boot 
43.        tracks are nulled, as are the FAT tables, etc.  All Norton's 
44.        horses couldn't put it back together again...  :-)  This affects 
45.        both floppy and hard disks.  Meanwhile, the four children that 
46.        were created go on to tell four friends, and then they tell four 
47.        friends, and so on, and so on. 
48.  
49.        Detection: while this virus appears to be very well written, the 
50.        author did leave behind a couple of footprints.  First, the 
51.        write date of the COMMAND.COM changes.  Second, if there's a 
52.        write protect tab on an uninfected disk, you will get a WRITE 
53.        PROTECT ERROR...  So, boot up from a suspected virus'd disk and 
54.        access a write protected disk - if an error comes up, then 
55.        you're sure.  Note that the length of command.com does not get 
56.        altered. 
57.  
58.        I urge anyone who comes in contact with publicly accessible 
59.        disks to periodically check their own disks.  Also, exercise 
60.        safe computing -always wear a write protect tab.  :-) 
61.  
62.        This is not a joke.  A large percentage of our public site disks 
63.        have been gonged by this virus in the last couple of days. 
64.  
65.        END OF MESSAGE ... 
66.  
67.        ████████████████████████████████████████████████████████████████ 
68.  
69.                   COMPUTER VIRUSES: ELEGANT PROGRAMMING CODE 
70.                              WITH A SAVAGE PURPOSE 
71.  
72.        ████████████████████████████████████████████████████████████████ 
73.  
74.        If you followed the previous message closely you are beginning 
75.        to sense what a computer virus is and can do. A definition might 
76.        roughly describe a VIRUS as a SELF-REPLICATING computer program 
77.        which copies itself and attaches to one of the following areas 
78.        of a computer: the hard disk partition table, the DOS boot 
79.        sector of hard disks or floppies or one or more executable files 
80.        within the system. It may also make itself resident in RAM 
81.        memory during computer operation. 
82.  
83.        Infected executable files may be operating system programs, 
84.        system device drivers, .COM files, .EXE files, overlay files or 
85.        any other file which can be loaded into memory and executed.  
86.        The virus activates itself at some predetermined (or randomly 
87.        determined) time and attempts to destroy, remove or otherwise 
88.        scramble data and programs. 
89.  
90.        A trademark of a virus is that it is SELF-REPLICATING and thus 
91.        clones multiple copies of itself. A virus is a computer program 
92.        - designed by someone - to spread identical copies of itself 
93.        among many computers and destroy data or programs in a specific 
94.        targeted manner. 
95.  
96.        In many ways a computer virus is quite similar to a biological 
97.        virus. It attacks one computer then proliferates among many 
98.        computers as infected floppy disks and the programs contained 
99.        within are shared among many computer users. The virus may lie 
100.        dormant for many months, or even years, all the while 
101.        replicating its program code to many more programs and floppy 
102.        disks. When an infected program is run it will in turn infect 
103.        other programs and disks in that same computer. Sometimes, but 
104.        not always, viruses interfere with printing or other routine DOS 
105.        operations. Many times the programmer who designed the virus 
106.        allows unintentional errors to exist within the virus program 
107.        code which can cause unexplained system crashes and other odd 
108.        behavior BEFORE the virus is triggered to erase or destroy data. 
109.        It seems even viruses are not perfect programs and can be 
110.        subject to programming bugs and errors just like standard 
111.        programs! 
112.  
113.        What does a virus program look like to a human operator? Simply 
114.        a string of highly encoded computer data bytes which by 
115.        themselves mean nothing to the casual observer. If you were to 
116.        glimpse deep inside the computer program code which makes up a 
117.        virus you might see something on your screen like the following 
118.        "machine code" listing: 
119.  
120.           xxxx:0110  02 00 02 3B A2 F8 29 00-11 00 04 00 11 00 80 00   
121.           xxxx:0120  00 00 00 00 0F 00 00 00-00 01 00 FA 33 C0 8E D0   
122.           xxxx:0130  BC 00 7C 16 07 BB 78 00-36 C5 37 1E 56 16 53 BF   
123.           xxxx:0160  13 72 67 A0 10 7C 98 F7-26 16 7C 03 06 1C 7C 03   
124.           xxxx:0190  A1 34 7C E8 96 00 B8 01-02 E8 AA 00 72 19 8B FB   
125.           xxxx:01B0  B9 0B 00 F3 A6 74 18 BE-5F 7D E8 61 00 32 E4 CD   
126.           xxxx:01C0  16 5E 1F 8F 04 8F 44 02-CD 19 BE A8 7D EB EB A1   
127.           xxxx:01D0  1C 05 33 D2 F7 36 0B 7C-FE C0 A2 31 7C A1 2C 7C   
128.           xxxx:0200  0C 01 06 2C 7C F7 26 0B-7C 03 D8 EB D9 8A 2E 15   
129.           xxxx:0210  7C 8A 16 1E 7C 8B 1E 32-7C EA 00 00 70 00 AC 0A   
130.           xxxx:0230  18 7C FE C2 88 16 30 7C-33 D2 F7 36 1A 7C 88 16   
131.           xxxx:0240  1F 7C A3 2E 7C C3 B4 02-8B 16 2E 7C B1 06 D2 E6   
132.           xxxx:0250  0A 36 30 7C 8B CA 86 E9-8B 16 1E 7C CD 13 C3 0D   
133.  
134.        What triggers a virus to destroy data once it is embedded within 
135.        your computer? Depending on the person who designed the virus 
136.        programming code, the virus can trigger and destroy data based 
137.        on: 
138.  
139.        A date, perhaps Friday the 13th to add a cruel twist of fate. 
140.        The number of repetitions a certain program is run. An occurrence 
141.        such as printing the payroll or running Lotus 123. A lack of an 
142.        occurrence (removal of a name from a list.) A time of day, 
143.        perhaps 1 AM when an office network is running unattended. A 
144.        capacity, say when your hard drive reaches 90% capacity, nearly 
145.        full! A random time of day or random date, or both. The presence 
146.        of another program or removal of a program. Use of a modem or 
147.        your printer. A particular person's name or password. 
148.        
149.        Essentially, the programmer of the virus code selects a 
150.        "trigger" of some type and deliberately programs the virus 
151.        to wake up and "bite" when a certain condition is met!
152.  
153.        In 1987, a European public BBS modem system was found to contain 
154.        a highly specialized program "toolkit" designed by a young 
155.        programmer. The purpose of this toolkit program was to assist in 
156.        designing yet better and more clever virus programs! Private 
157.        American BBS systems have been reported to exist wherein virus 
158.        programmers trade virus program code examples and ideas on how 
159.        to create "better" and "more savage" virus programs! These BBS 
160.        systems have confidential telephone numbers and passwords so 
161.        that only virus programmers can access these "virus libraries of 
162.        information." 
163.  
164.        What is the lure of programming a virus? No one is sure, but the 
165.        few programmers of virus software who have been caught usually 
166.        explain their act as an intellectual challenge - an attempt to 
167.        see how far programming code can be extended. In some respects 
168.        this may be true. Virus programs are frequently crafted with 
169.        obscure and highly elegant machine code and can be self 
170.        replicating, self-modifying and "wired" with elaborate logic and 
171.        algorithmic triggers. A virus must be small, fast and very
172.        stealthy. A virus in many respects is programming at the cutting 
173.        edge of the craft, and perhaps this is the challenge . . .
174.  
175.        ████████████████████████████████████████████████████████████████ 
176.  
177.                                NOW THE BAD NEWS: 
178.                 VIRUSES AREN'T THE ONLY TOUGH KID ON THE BLOCK! 
179.  
180.        ████████████████████████████████████████████████████████████████ 
181.  
182.        Perhaps we should back up and also define several other "rogue 
183.        program" types which pose a security risk to your computer data. 
184.  
185.        A TROJAN HORSE program appears as something useful - perhaps a 
186.        program to sort names or print a list of telephone numbers on 
187.        the computer. Yet it actually does something destructive either 
188.        immediately or at a later time. As an example, several trojan 
189.        horse programs offer to display X-rated images or colorful games 
190.        which distract your attention to the screen long enough for the 
191.        program to cheerfully erase your bookkeeping data. A trojan 
192.        horse might (but does not usually) replicate its code to several 
193.        other disks. This replication feature is more distinctive of a 
194.        true virus. 
195.  
196.        A LOGIC BOMB is much like a trojan horse and may lie hidden 
197.        within a useful program. However when a certain point of logic 
198.        or data is presented to the program (e.g., the programmer's name 
199.        is removed from the company payroll records presumably because 
200.        the programmer has been fired) then the logic bomb is activated 
201.        to "extract revenge" by scrambling payroll records or perhaps 
202.        removing all occurrences of the numbers 4, 7 and 9 from any data 
203.        throughout company records. Insidious . . . 
204.  
205.        A WORM is somewhat similar to a virus. It can replicate and 
206.        spread throughout a computer system. When the worm program is 
207.        run is creates copies of itself and runs those copies. It can 
208.        wreak havoc on interconnected computer systems such as are found 
209.        within university networks or government computers. A well-known 
210.        worm infection occurred in the Fall off 1988 when a worm program 
211.        was installed on a large internet network and quickly spread 
212.        through hundreds of government and university UNIX type 
213.        computers. All of the infected computers quickly bogged down as 
214.        the worm created and then ran many copies of itself thus 
215.        demanding more and more memory and computing time from 
216.        legitimate programs and more necessary work tasks. 
217.  
218.        A word before we continue. Virus programs are not THAT common. 
219.        They are real, but have been vastly over-reported in the popular 
220.        press. They seem to be more common within university communities 
221.        where youthful students might be tempted to "test" their 
222.        programming skills by creating virus programs. Commercial 
223.        software has OCCASIONALLY been infected, but for practical 
224.        purposes, commercial programs purchased from retail sources and 
225.        packed in original factory boxes are low probability sources of 
226.        viruses. 
227.  
228.        Public domain and shareware sources of software as well as 
229.        BBS/modem sources are slightly more suspect for virus infection, 
230.        but for the most part reputable shareware distributors and most 
231.        BBS systems have over the years reported low computer virus 
232.        incidence. Computer virus programs DO exist, but they are 
233.        quickly caught and erradicated from most BBS systems and 
234.        shareware sources. Your chance of computer virus infection is 
235.        probably on the order of 2% probability, but knowledge and 
236.        foresight are a wise investment in computer and data security! 
237.  
238.        Published lists of virus programs detail unique and precise 
239.        virus characteristics. One of the better virus lists is the 
240.        shareware software program DIRTY DOZEN which is available from 
241.        most computer clubs and many BBS systems. Some examples of virus 
242.        programs which have been identified include: 
243.  
244.                                    ICELANDIC        
245.                                    PENTAGON         
246.                                  DARK AVENGER     
247.                                     SYSLOCK          
248.                                DISK KILLER/OGRE 
249.                                    ZERO BUG         
250.                                     VACSINA          
251.                                    DATACRIME        
252.                                    TRACEBACK        
253.  
254.        Downloading files from a public bulletin board system is one way 
255.        to become infected with a computer virus. If you find a file on 
256.        a public BBS system interesting, leave it there for a month and 
257.        wait to see if other users report problems with the program. 
258.        This pessimistic may save considerable hard disk data. Some 
259.        conservative and common sense suggestions for preventing virus 
260.        outbreaks include the following: 
261.  
262.        Avoid sharing commercial software and making copies for others. 
263.        It is a violation of the author's copyright to copy commercial 
264.        software, in any event. Always obtain public domain and 
265.        shareware software from reliable sources such as large BBS 
266.        systems - Compuserve and PC MagNet are relatively reliable as 
267.        are large shareware distributors such as PC SIG and Public Brand 
268.        Software who obtain their copies directly from the author via US 
269.        mail. 
270.  
271.        If possible, use one of the many virus checking programs on the 
272.        market to test public domain and shareware software prior to 
273.        installation on your system. Occasionally test all the files on 
274.        your system as a monthly or weekly routine. The first time you 
275.        start a suspected public domain/shareware program run it from a 
276.        floppy disk and not your hard drive. Always write protect your 
277.        floppies if possible. 
278.  
279.        Use one of the available "vaccination programs" which continuously 
280.        monitor your system for unauthorized or otherwise unexpected data 
281.        transfers. These programs monitor your hard disk and memory for 
282.        activity not usually normal under DOS operations. If you do detect 
283.        a virus program, consider that both your hard disk and your 
284.        backup copies are probably infected. Use a virus antidote program 
285.        if possible and do not share any disks generated by that machine 
286.        with others. Keep original application disks from the manufacturer 
287.        safely tucked away and if possible protected by write protect tabs. 
288.  
289.        Make frequent backups of data you consider essential. Weekly is 
290.        a minimum. Daily is not unreasonable. Limit the exchange of data 
291.        disks within your workplace unless necessary - especially if 
292.        those disks contain EXE or COM files. Always write protect all 
293.        floppies unless they are data disks which must be updated 
294.        routinely. 
295.  
296.        Never start a hard disk-equipped computer from a floppy disk 
297.        except the ORIGINAL DOS disk which is WRITE PROTECTED with a tab 
298.        in place. No exceptions! 
299.  
300.        Curiously, 90% of those infected with a virus or trojan horse 
301.        program are reinfected within a month! This attests to 
302.        widespread sharing of data disks and poor data work habits. 
303.        
304.        Don't always assume a computer problem is virus related. Most of 
305.        the time it is related to improper equipment use. Carefully 
306.        scrutinize file directories on your disk(s) for date or file 
307.        size changes. Viruses are fond of adding their code to the files 
308.        COMMAND.COM, IBMBIO.COM, or IBMSYS.COM. Perhaps jot down or 
309.        print out known file sizes and dates of creation and check for 
310.        any changes which may appear since you first installed that file 
311.        on your disk. 
312.  
313.        Software programs exist whose purpose is to detect and/or repair 
314.        damage caused by virus software. Some are commercial and some 
315.        are shareware or public domain. 
316.  
317.             Software Program          Purpose and method of action
318.      ------------------------------------------------------------------
319.     PC Magazine          Checks and verifies your files and allows
320.     PCDATA               continued testing. Public domain, free from
321.                          many computer clubs or shareware outlets. 
322.                          Documentation in February 13, 1990 edition
323.                          of PC Magazine. Highly recommended; cost is 
324.                          right! Reading the magazine article will give
325.                          you a detailed understanding of how and why
326.                          to protect your data.
327.  
328.     VIRUSCAN             From McAfee Associates  telephone (408) 988-3832.
329.     ScanV___             Frequently seen on public bulletin board systems
330.                          and within libraries of most computer clubs, this
331.                          is an exceptional program, updated frequently.
332.                          Scans drives and RAM memory for virus presence.
333.                          The program is proactive: is searches for exact
334.                          virus "flags" rather than waiting for a virus to
335.                          hit. Program is self-testing to make sure that
336.                          it has not itself been infected! Recommended. 
337.                          McAfee also sells virus removal programs and 
338.                          provides business consulting: virus erradication.
339.                          McAfee Associates, 4423 Cheeney Street, 
340.                          Santa Clara, CA  95054
341.                          
342.        C-4               Virus Protection Program.RAM resident and
343.                          thus watches for signs of virus activity and 
344.                          then freezes system before problems can happen.
345.  
346.      Dirty Dozen         Detailed list of virus and trojan horse programs
347.                          which is available from most computer clubs or
348.                          shareware distributors. Interesting reading.
349.                   
350.        Virus Pro         Does much the same job as PCDATA
351.  
352.      Check 4 Bomb        Check programs for ASCII strings unique to virus 
353.                          programs. Shareware
354.  
355.      Bombsquad           Prevent unwanted disk reads, writes, formatting
356.                   
357.        DBack             Backup FAT Tables, similar capability in PCDATA
358.                   
359.     FluShot+             Virus Protection Program
360.  
361.     Prognosis            Check programs for harmful function calls
362.  
363.     PC-Tools Deluxe      Repairs damage to file allocation table and other
364.                          "unerase" damaged file functions.               
365.  
366.     Mace+                Repairs damage to file allocation table and other
367.     Utilities/Gold       "unerase" damaged file functions.               
368.  
369.     Norton Utilities     Repairs damage to file allocation table and other
370.                          "unerase" damaged file functions.               
371.  
372.        ████████████████████████████████████████████████████████████████ 
373.  
374.                SO NOW WHAT?   -   WHAT TO DO WHEN A VIRUS BITES 
375.  
376.        ████████████████████████████████████████████████████████████████ 
377.  
378.        The cat is out of the bag and you are pretty sure (that sinking 
379.        feeling) that a virus is in your system. What's next? If you 
380.        don't want to try to unravel the mess yourself, try calling 
381.        McAfee Associates at the telephone number listed above. They can 
382.        send you a diagnosis program (VIRUSCAN) and virus removal 
383.        program. 
384.  
385.        In the case of boot sector infestations, power down your system 
386.        then restart from an uninfected write protected ORIGINAL COPY 
387.        DOS disk. Execute the DOS SYS command to attempt to overwrite 
388.        the boot sector with new startup files. This will work in most 
389.        cases. If it does not work, backup all data files which are 
390.        essential (and maybe infected) then perform a low level format 
391.        of the hard disk or a normal format if it is an infected floppy 
392.        disk. Do likewise for ALL floppies which may have come into 
393.        contact with the virus. When you are done, use VIRUSCAN to check 
394.        for the presence of continuing virus infestation. 
395.  
396.        If an EXE or COM file has been infected, power down the system, 
397.        reboot from the factory WRITE PROTECTED DOS disk, delete all 
398.        infected COM and EXE files then replace them with the original 
399.        files from the WRITE PROTECTED, factory original program disks. 
400.        Run VIRUSCAN again to check to for absence of viruses. 
401.  
402.        For a disk partition table infection, the only option short of a 
403.        removal utility is to low level format the disk. And with that 
404.        action destroy not only the virus but also your data. Better 
405.        hope you have backup data on a floppy disk! 
406.  
407.        After disinfecting a hard disk, you must reformat EVERY floppy 
408.        that came into contact with the infected computer. If you are 
409.        reinstalling a backup copy, do not restore it unless it was made 
410.        BEFORE the system became infected. Run VIRUSCAN to be sure. 
411.  
412.  
413.