home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / cud / cud453a.txt < prev    next >
Text File  |  1995-01-03  |  12KB  |  234 lines
  1. Date: Fri, 23 Oct 92 01:23:48 EST
  2. From: spaf@CS.PURDUE.EDU(Gene Spafford)
  3. Subject: File 1--Re: Cu Digest, #4.49- Viruses--Facts and Myths (1)
  4.  
  5. In the Digest, #4.49, "Dark Adept" provided a long article on virus
  6. facts and myths.  Unfortunately, he/she got several "facts" incorrect.
  7. I could try to make a point about the danger of correct-sounding
  8. material being mistaken for factual simply because it is well-written,
  9. and on the difficulty of verifying information presented from behind a
  10. pseudonym and without citations, but will leave that for another rant. :-)
  11.  
  12. I'll try to correct a few of the more glaring errors.  The interested
  13. reader should consult one of the well-researched and documented texts
  14. on the market for further details.  I'd suggest Ferbrache's excellent
  15. text "A Pathology of Computer Viruses" (Springer-Verlag), Hoffman's
  16. collection "Rogue Programs" under the Van Nostrand Reinhold imprint,
  17. and Denning's "Computers Under Attack" by Addison-Wesley.  Also of
  18. value are Hruska's "Computer Viruses and Anti-Virus Warfare" and the
  19. badly overpriced "Computer Virus Handbook" edited by Highland.
  20.  
  21. The comp.virus newsgroup (Virus-L mailing list) has a very nice FAQ
  22. article compiled by several knowledgeable researchers and authors in
  23. the area of computer viruses that addresses many of these points and
  24. provides pointers to additional information.
  25.  
  26. Now for my comments.
  27.  
  28. > A virus is a tiny program that attaches itself to other programs.  It does
  29.  
  30. Viruses do not need to be tiny.
  31.  
  32. > a chance of catching a virus.  Data files (files that are not programs, like
  33. > text for your wordprocesser) cannot contain viruses.
  34.  
  35. Wrong.  Data files can contain viruses in two ways.  First, they may
  36. contain viruses that are in a non-threatening format.  For instance, a
  37. text file may contain a virus encoded as hex digits.  This is not a
  38. threat, per se, but is a virus.  This is the pedantic objection.
  39.  
  40. However, it is also possible for a virus to be present in a form that
  41. causes it to be interpreted.  For instance, a virus can be written in
  42. Lotus 1-2-3 macros in a spreadsheet.  The spreadsheet is not a
  43. program, but is has elements that can be executed and act like a
  44. virus.  Likewise, a virus can be written in GNU Emacs macros that are
  45. automatically executed when a file is read with Emacs (unless the
  46. "inhibit-local-variables" variable is set correctly).
  47.  
  48. Viruses can be written for .bat files under DOS, and these are not
  49. considered to be programs by everyone.  However, they get executed,
  50. and that means that a virus can be in one of them.
  51.  
  52. > The only way to activate the virus is to run the program.
  53.  
  54. Including my examples given above, this is not strictly true, either.
  55. Some Mac viruses activate when one inserts a disk into the drive and
  56. the desktop is read (under System 6.0.x).  This does not involve
  57. executing a program, but interpreting code present on the disk.  Other
  58. examples exist, but you get the point.
  59.  
  60. > Another thing is batch files.  These are files on IBM PC's that end in ".bat".
  61. > These DO NOT contain viruses.
  62.  
  63. However, they could.  The viruses would be easy to spot and probably
  64. not very effective, but they could be written, just as Unix shell
  65. script viruses can be written. (For instance, see Tom Duff's paper in
  66. "Computing Systems" of a few years ago.)
  67.  
  68. > Ok.  Viruses can only be made for specific machines.  By this I mean
  69. > that a virus that infects IBM PC's will NOT be able to infect Macs.
  70. > There may be a tiny tiny chance if your Mac is running something like
  71. > an IBM Emulator that a virus may cause problems, but in general, if
  72. > you have a non-IBM compatible computer, and you can't run IBM software,
  73. > then you can't catch IBM viruses and vice-versa.
  74.  
  75. Wrong.  A virus written in spreadsheet macros or Perl or some other
  76. higher-level language will indeed work on any machine that supports an
  77. interpreter for that high-level language.  Also, we have seen cases of
  78. viruses written for DOS machines (Intel 80x86 architecture) able to
  79. run on DOS emulators under MacOS -- it isn't a tiny chance, but a real
  80. possibility.
  81.  
  82. > For the most part, only personal computers (i.e., IBM PC's and Macs) are
  83. > affected by viruses.  On IBM's, they are usually limited to DOS, so if
  84. > you are running Unix on a 386 you don't really need to worry (yet).
  85.  
  86. Wrong.  Boot sector infectors are generally able to spread to Unix
  87. disks.  Usually they just wipe out the Unix boot sector.  This should
  88. indeed be a worry.  If the Unix disk shares the same boot record
  89. format as MS-DOS, it's even more of a worry (luckily, this isn't
  90. generally the case).
  91.  
  92. >   If you buy the software from
  93. > a computer store, you don't have to worry.  Once in a million there might
  94. > be some type of problem, but in general, store purchased software will
  95. > NEVER have a virus.
  96.  
  97. Wrong.  Some stores will take software back for refunds after it has
  98. been used in machines with viruses.   Thus, the store software will be
  99. infected.  Some stores even put new shrink-wrap over the packages so
  100. you can't tell it happened.
  101.  
  102. Other stores will use the software in the store in their machines to
  103. demo it or to make sure it works the way you think.  Again, this is a
  104. source of viruses -- many store systems are badly infected.
  105.  
  106. Finally, there are many incidents where vendors have shipped their
  107. software to stores with the disks already infected with a virus.
  108.  
  109. Getting software from a store is NOT a guarantee that it is free from
  110. viruses.
  111.  
  112. > There are 3 main types of "anti-virus" software available:
  113. >
  114. > o  Scanners
  115. > o  Detectors
  116. > o  Removers
  117.  
  118. This is not how most experts in the field classify such software.
  119.  
  120. > Each virus has what the anti-virus geeks call a "footprint".
  121.  
  122. We "geeks" usually refer to it as a signature.  I know of no one
  123. reputable who refers to these as  "footprints."
  124.  
  125. [Dark Adept then goes on to explain his "detectors" and jumbles
  126. together activity monitors and integrity checkers.  I won't bother
  127. explaining the nuances here -- consult one of the references.
  128. However, many of his points are off the mark, especially as regards
  129. integrity monitors.]
  130.  
  131. >   Nine times out of ten, a disinfector will have to
  132. > delete *ALL* the programs that are infected.  Gone. Erased.  Never to come
  133. > back.  Some can get out the virus without deleting files, but this is
  134. > rare.
  135.  
  136. Not so rare -- several such programs exist and work quite well.  In
  137. the Mac world, almost all viruses can be successfully disinfected by
  138. John Norstad's "Disinfectant".  Skulason's F-Prot does a very good job
  139. on removing most MS-DOS viruses.  It is not rare at all.
  140.  
  141. [Dark Adept then recommends Central Point Software.  We can't tell if
  142. this is an informed opinion based on comparison, or if Dark Adept is
  143. really the president of Central Point and trying to scam us because we
  144. have no idea who or what Dark Adept really is.
  145.  
  146. In general, thorough and impartial tests conducted by places like the
  147. Hamburg virus research group and by the Virus Bulletin have revealed
  148. that Skulason's F-Prot and Dr. Solomon's Toolkit are far and away the
  149. most complete and effective anti-virus tools for MS-DOS.  Interested
  150. readers can consult those mentioned and similar references for
  151. details.  Neither Skulason nor Solomon are greedy SOBs like some other
  152. vendors in the arena (I agree with Dark Adept that there are some
  153. notable ones out there).  In fact, Skulson's product is free for
  154. personal use at home!]
  155.  
  156. > A virus is made up of two basic parts: an infector and a destructor.
  157. > The INFECTOR is the part of the program which hides the virus and makes
  158. > it spread.  The DESTRUCTOR is the mischief maker.  This is the part
  159. > that draws crazy pictures on your screen or erases a file on you.
  160.  
  161. Not strictly true.  Many viruses cause damage because the people who
  162. wrote them aren't as clever as they like to think they are, or because
  163. new hardware & software configurations have come along that weren't
  164. anticipated by the virus author.  The result is that the virus causes
  165. damage as it tries to spread by overwriting critical data or poking
  166. into the wrong memory locations.  This is one of the principle reasons
  167. that *NO* virus is harmless -- two or three years from now, something
  168. that appeared harmless in someone's home system may cause a massive
  169. failure in the machines at a business or laboratory with a vastly
  170. different set of configuration parameters.
  171.  
  172. > "The first virus was written by..."
  173. > No one knows.  However, if you were to ask me, I will say the first
  174. > virus was written by the first person who made copy-protection.
  175.  
  176. Pure bullshit -- an apologist attempt to justify pirating and/or virus
  177. writing.  Many copy protection schemes bear no real resemblance to
  178. viruses, and in any event they don't replicate themselves into other
  179. software.
  180.  
  181. Ferbrache and I both have good evidence that the first PC viruses were
  182. written in 1981 (2 years before Cohen thought of the idea).  Many
  183. people credit Ken Thompson with the first virus because of his Turing
  184. Award lecture on trust.  Others credit early core wars experimenters.
  185. It depends on how you formally define virus.  The definition I use
  186. sides with the ones who credit Thompson.
  187.  
  188. [Dark Adept then claims that viruses aren't a problem because in all
  189. his limited academic experience he has seen only a few cases of
  190. viruses.  This is like claiming that elephants don't exist because he
  191. hasn't seen one in years while living in Illinois.
  192.  
  193. Business and government sites continue to report wide-spread and
  194. continuing outbreaks.  Viruses exist and they continue to be a
  195. significant problem.  It's not the end of the world, but it is not
  196. getting better and it is real.]
  197.  
  198. > I just hoped I made this virus thing clearer.  This is not based
  199. > on any virus "expertise" I have, just a thorough knowledge of
  200. > computers and my experience with them (which is extensive).  I am not a
  201. > "virus expert" nor am I a virus author. But next time someone tries to
  202. > scare you or calls themselves a "virus professional" call them an idiot.
  203.  
  204. OKay, you're an idiot.
  205.  
  206. >  They don't even want to format a hard drive, just have a little
  207. > fun programming.  Once in a while one of their "projects" might get out
  208. > of hand, but they're not there to make your life miserable.  Sure I'd be
  209. > pissed at em if Flight Simulator got infected, but no biggie.  Just clean
  210. > up and reinstall.
  211.  
  212. Fun, hell.  If I set fire to your house because I wanted to have a
  213. little fun, don't get bent out of shape -- it's your own fault for not
  214. having sprinklers, right?  Just get the insurance money and move
  215. somewhere else.
  216.  
  217. If the people who write viruses are so talented and bored, there are
  218. lots of other things they could do that would be of benefit to others
  219. around them and might be just as much fun.  Committing indirect acts
  220. of vandalism are not "fun" for the victims nor is it the fault of the
  221. people who are conducting research or a business on the systems that
  222. get hosed.  There are people using their systems for more critical
  223. efforts than "Flight Simulator" -- and they don't have time,
  224. personnel, or resources to backup their systems every 10 minutes...nor
  225. should they be forced to.  Virus writing is nothing more than
  226. vandalism and is solely the fault of the virus authors.
  227.  
  228.   --spaf
  229.  
  230. ------------------------------
  231.  
  232.  
  233. Downloaded From P-80 International Information Systems 304-744-2253
  234.