home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / GLATH < prev    next >
Text File  |  1989-04-26  |  21KB  |  553 lines
  1.  
  2.  
  3.  
  4.  
  5.                 COMPUTER VIRUSES: A RATIONAL VIEW
  6.  
  7.                       by: Raymond M. Glath
  8.                             President
  9.  
  10.                     RG Software Systems, Inc.
  11.                        2300 Computer Ave.
  12.                            Suite I-51
  13.                      Willow Grove, PA 19090
  14.                          (215) 659-5300
  15.  
  16.  
  17. April 14, 1988
  18.  
  19.  
  20. WHAT ARE COMPUTER VIRUSES?
  21. (a.k.a. Trojan Horses, Worms, Time Bombs, Sabotage)
  22.  
  23. Any software that has been developed specifically for the purpose
  24. of interfering with a computer's normal operations.
  25.  
  26.  
  27. WHAT DO THEY DO?
  28.  
  29. There are two major categories of viruses.
  30.  
  31. Destructive viruses, that cause:
  32.  
  33.      Massive destruction...
  34.           ie: Low level format  of disk(s),  whereby any programs
  35.                and data on the disk are not recoverable.
  36.  
  37.      Partial destruction...
  38.           ie: Erasure or modification of a portion of a disk.
  39.  
  40.      Selective destruction...
  41.           ie: Erasure  or modification  of specific files or file
  42.                groups.
  43.  
  44.      Random havoc... The most insidious form of all.
  45.           ie: Randomly changing data on  disk  or  in  RAM during
  46.                normal program applications, or changing keystroke
  47.                values, or  data from  other input/output devices,
  48.                with the result being an inordinate amount of time
  49.                to discover and  repair  the  problem,  and damage
  50.                that may never be known about.
  51.  
  52. Non-Destructive  viruses, intended  to cause  attention to the
  53.      author or to harass the end user.
  54.  
  55.      a. Annoyances...
  56.           ie:  Displaying  a  message,  changing  display colors,
  57.                changing  keystroke  values  such as reversing the
  58.                effect of the Shift and Unshift keys, etc.
  59.  
  60.  
  61. WHAT IS THE IMPACT OF A VIRUS ATTACK BEYOND THE OBVIOUS?
  62.  
  63. Lost productivity time !!!
  64.  
  65. In addition to  the  time  and  skills  required  to re-construct
  66. damaged data files, viruses can waste a lot of time in many other
  67. ways.
  68.  
  69. With either type of virus, the person subjected to the  attack as
  70. well as  many support  personnel from  the attacked site and from
  71. various  suppliers,  will  sacrifice  many  hours   of  otherwise
  72. productive time:
  73.  
  74.      Time to determine the cause of the attack.
  75.      The removal of the virus code from the system.
  76.      The recovery of lost data.
  77.      The detective work required to locate the original source of
  78.           the virus code.
  79.  
  80.      Then, there's the management time required to determine  how
  81.           this will be prevented in the future.
  82.  
  83.  
  84. WHO DEVELOPS VIRUSES?
  85.  
  86. This individual, regardless of his specific motivation, will most
  87. probably want to see  some form  of publicity  resulting from his
  88. handiwork.  Anywhere  from  a  "Gotcha"  message appearing on the
  89. computer's screen after the  attack, to  major press  coverage of
  90. that particular virus' spread and wake of damage.
  91.  
  92. Some of  the reasons for someone to spend their time developing a
  93. virus program are:
  94.  
  95.      A practical joke.
  96.      A personal vendetta against a company or  another person.
  97.           ie: a disgruntled employee.
  98.      The computer-literate political terrorist.
  99.      Someone  trying  to  gain  publicity  for  some cause or
  100.           product.
  101.      The bored, un-noticed "genius," who wants attention.
  102.      The mentally disturbed sociopath.
  103.  
  104.  
  105. IS THE THREAT REAL?
  106.  
  107. Yes, however thus far the destructive ones have primarily been in
  108. the Academic environment. Several attacks have been documented by
  109. the press, and, from first hand experience, I  can attest  to the
  110. fact that  those reported do exist. We have seen some of them and
  111. successfully tested our Disk Watcher product against them.
  112.  
  113. Reputable individuals have reported additional viruses to us, but
  114. these have  not reached the scale of distribution achieved by the
  115. now  infamous  "Lehigh,"  "Brain,"   "Israeli,"  and  "MacIntosh"
  116. viruses.
  117.  
  118. We do  expect the  situation to  worsen due to the attention it's
  119. received. Taking simple lessons  from history,  a new phenomenon,
  120. once  given  attention,  will  be  replicated  by individuals who
  121. otherwise have no opportunity for personal attention.
  122.  
  123. Now that there are products for  defense from  viruses, the virus
  124. writers have  been given  a challenge;  and for  those people who
  125. have always wanted  to  anonymously  strike  out  at  someone but
  126. didn't know  of a  method to  do so,  the coverage has provided a
  127. "How To" guide.
  128.  
  129.  
  130. HOW DOES A VIRUS GET INTO YOUR COMPUTER SYSTEM?
  131.  
  132. A virus may be entered into a system by an  unsuspecting user who
  133. has been  duped by the virus creator (Covert entry), or it may be
  134. entered directly by the creator. (Overt entry.)
  135.  
  136.      Examples of Covert  entry  of  a  virus  into  a computer
  137.           system.
  138.  
  139.           A  "carrier" program  such as  a "pirate" copy of a
  140.              commercial package that has been tampered with, is
  141.              utilized  by  the  un-suspecting  user,  and  thus
  142.              enters the virus code into the system.
  143.  
  144.              Other types  of  carriers  could  be  programs from
  145.              Bulletin  Boards  that  have  been either tampered
  146.              with  or  specifically  designed  as  viruses, but
  147.              disguised as  useful programs. There has even been
  148.              a  destructive  virus   disguised   as   a  "virus
  149.              protection" program on a BBS.
  150.  
  151.           The  user  unknowingly acquires an "infected" disk
  152.              and uses it to boot the system.
  153.  
  154.              The virus has been hidden in  the system  files and
  155.              then hides  itself in  system RAM  or other system
  156.              files in order to reproduce, and later, attack.
  157.  
  158.  
  159.      Examples of Overt entry into a computer system.
  160.  
  161.           An  individual  bent  on  harassing  the  user  or
  162.              sabotaging   the   computer  system,  modifies  an
  163.              existing program  on  that  computer  or  copies a
  164.              virus  program  onto  someone's  disk during their
  165.              absence from their work station.
  166.  
  167.  
  168. HOW DOES A VIRUS SPREAD?
  169.  
  170. A virus may reproduce itself by delaying its attack until  it has
  171. made copies  of itself onto other disks (Active reproduction,) or
  172. it may depend entirely on unsuspecting users to make copies of it
  173. and pass  them around  (Passive reproduction).  It may also use a
  174. combination of these methods.
  175.  
  176.  
  177. WHAT TRIGGERS THE VIRUS ATTACK?
  178.  
  179. Attacks begin upon the occurrence of a certain event, such as:
  180.  
  181.      On a certain date.
  182.      At a certain time of day.
  183.      When a certain job is run.
  184.      After "cloning" itself n times.
  185.      When a certain combination of keystrokes occurs.
  186.      When the computer is restarted.
  187.  
  188. One way or  another,  the  virus  code  must  put  itself  into a
  189. position to  either start  itself when the computer is turned on,
  190. or when a specific program is run.
  191.  
  192.  
  193. HOW DOES ONE DISTINGUISH A VIRUS FROM A "BUG" IN  A PROGRAM  OR A
  194. HARDWARE MALFUNCTION?
  195.  
  196. This can  be a tough one. With the publicity surrounding viruses,
  197. many people are ready  to  believe  that  any  strange occurrence
  198. while computing  may have  been caused  by a virus, when it could
  199. simply be an operational error, hardware component failure,  or a
  200. software "bug."
  201.  
  202. While  most  commercial  software  developers test their products
  203. exhaustively,  there  is  always   the   possibility   that  some
  204. combination of hardware; mix of installed TSR's; user actions; or
  205. slight incompatibilities with "compatible" or "clone" machines or
  206. components; can cause a problem to surface.
  207.  
  208. We need to remember some key points here:
  209.  
  210. 1. Examine the probabilities of your having contacted a virus.
  211.  
  212. 2. Don't  just assume  that you've  been attacked  by a virus and
  213.      abandon  your  normal  troubleshooting  techniques  or those
  214.      recommended by the product manufacturers.
  215.  
  216. 3. When  in doubt  contact your  supplier or the manufacturer for
  217.      tech support.
  218.  
  219. 4. Having  an effective  "Virus Protection"  system installed may
  220.      help you determine the cause of the problem.
  221.  
  222.  
  223. HOW