home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / cud / cud456a.txt

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  300 lines

---

1. Date: 02 Nov 1992 16:07:19 -0500 (EST)
2. >From: Guido Sanchez<guido@nunbeaters.anon.com>
3. Subject: File 1--Response to the Virus Discussion
4.  
5. I've some qualms about this article. It seems that The Dark Adept is,
6. while trying to clear up some common misconceptions, contributing to
7. the ignorance of the computer community at large. Perhaps this was his
8. goal in writing this article, I really don't know. As a writer of
9. viruses and a pillar of spam in the virus writing community <inside
10. joke, really>, I'd like to clear up some misconceptions on the points
11. raised by The Dark Adept.
12.  
13. Let's start off with his definition of viruses..
14.  
15. > What is a virus?
16. > ++++++++++++++++
17. > A virus is a tiny program that attaches itself to other programs.  It does
18. > in fact operate as a biological virus does.  It finds a victim program and
19. > infects it with a copy of itself.  Then when the victim program is
20. > unsuspectingly run, the virus now inside it is activated.  At this point,
21. > it can do one of two things: infect another program, or cause mischief.
22.  
23. This is innocent enough, but not altogether true. A virus doesn't
24. always attach itself to another program. If they merely did that, they
25. would be NoWhere <another inside joke.. I'd better watch myself> near
26. as virulent as the anti-viral community would like John Q. Netrunner
27. to believe. The only efficient way that we <viral community> are going
28. to get our stuff to spread <assuming that we even want that> is to
29. utilize the boot sector of a diskette to contain virulent code. Not
30. file infectors, but actual disk infectors. Once this diskette goes
31. into another computer, that system has a much higher risk than if a
32. mere infected program were to be run. Another array of misleading
33. points being:
34.  
35. > How do people catch viruses?
36. > ++++++++++++++++++++++++++++
37. > Yikes!  Here's where all the rumors are!  You cannot get a virus from a modem,
38. > a printer, a CRT, etc.  Viruses only come from other programs.  So, whenever
39.                           ^^^^^^^^^^^^^^^^^^^
40. Wrong, as I said before
41.  
42. > you add a program to your hard disk or run one off of a floppy, you stand
43. > a chance of catching a virus.  Data files (files that are not programs, like
44. > text for your wordprocessor) cannot contain viruses.  Only programs can
45. > contain viruses.  On IBM PC's, programs usually end in ".exe" or ".com" and
46. > are the files that you run.  The programs are the only ones that can contain
47. > viruses.
48.  
49. Also overlooking the .SYS, .OVL, and .APP files to name a few which
50. can be infected by file infectors. The data files, true, cannot
51. contribute to the spread of a virus, but they might be corrupted or
52. overwritten with the virus signatures depending on the type of virus.
53.  
54. > The only way to activate the virus is to run the program.  Say for example
55. > you got a new program called "game.exe".  You put it on your hard drive,
56. > but you never run it (i.e., you never tried it).  Even if game.exe has a virus
57. > in it, you WILL NOT catch it.  The program has to be run at least once to make
58. > the virus active.
59.  
60. Wrong again, re the boot sector argument.
61.  
62. > Another thing is batch files.  These are files on IBM PC's that end in ".bat".
63. > These DO NOT contain viruses.  However, .bat files run other programs.  So
64. > if the .bat file runs a program that has a virus, the virus WILL be activated.
65. > The cause is NOT the .bat file, but the program that was run BY the .bat
66. > file.
67.  
68. This is part fact, part ignorance. On Vx <Virus Exchange> BBSs, there
69. have been seen batch file viruses. That is a batch file which, when
70. run, would use the debug program and insert viral code into memory,
71. subsequently executing it. In this case and others, the cause is both
72. the .BAT file and the DEBUG.EXE program.
73.  
74. > What do viruses do?
75. > +++++++++++++++++++
76. > Well, a number of things.  Some erase your disks.  Others print silly
77. > messages to your screen.  In any case, a virus is not written like other
78. > programs are.  It uses things that other programs normally don't.  If your
79. > computer is infected by a virus, whenever you turn on the machine that
80. > virus is in the memory, and even if all it does is print "I want a cookie,"
81. > it can still interfere with other programs since they don't expect it to
82. > be there.
83.  
84. Supposedly, there are some viruses and trojans <trojan horses being
85. merely programs which do something they aren't supposed to do, usually
86. destructive, but still not being able to replicate like viruses do>
87. which can cause physical damage to hardware. Example, the HEADKILL
88. Trojan which supposedly ruins the head of the victim hard drive <I ran
89. this trojan on a 1.2meg 5.25" disk, it registers as invalid media
90. now>. Some viruses could overwrite the disk as to not be recognizeable
91. as a DOS compatible disk at all. Taking advantage of a user's
92. ignorance, the STIFFY virus uses the Media Descriptor Table to
93. re-define A: to an 8 inch disk drive no matter what it previously was.
94. It inter-cepts COMMAND.COMs error message and prints a phallic insult,
95. and obviously the acceptable format could not be used, causing massive
96. efforts towards retrieving the 'lost' drive. The TURKEY virus
97. supposedly alters cathode ray dispersion to 'melt' the monitor. Point
98. being that there ARE some annoying little buggers out there, not all
99. of them mere data corruptors or spreaders.
100.  
101. > Tell me more about these things...
102. > ++++++++++++++++++++++++++++++++++
103. > Ok.  Viruses can only be made for specific machines.  By this I mean
104. > that a virus that infects IBM PC's will NOT be able to infect Macs.
105. > There may be a tiny tiny chance if your Mac is running something like
106. > an IBM Emulator that a virus may cause problems, but in general, if
107. > you have a non-IBM compatible computer, and you can't run IBM
108. software, > then you can't catch IBM viruses and vice-versa.
109.  
110. BIG misconception there, buddy. The SHIBOLETH virus, for example,
111. executes MAC code to test for machine type. If there is no error, it
112. runs the MAC section of the viral code. If so, it runs the IBM section
113. of the code. It's rather clumsy, but it DOES withstand transferral to
114. MAC from IBM and back.
115.  
116. > +  It might miss some or give you false results, so don't rely on it
117. >    completely.
118.  
119. You MIGHT say that. It takes maybe 4 seconds to render a virus
120. unscannable by McAfee's or Norton. Simply putting in a small NoWhere
121. loop <meaning point A's instructions are to loop back to point A for
122. an amount of time> or using an executable compression program <eg
123. PKLITE, LZEXE, DIET> and removing the header will usually get the
124. virus through scanners. What about the boot sector infectors mentioned
125. above? Usually on Vx BBSs a dropper program is given out that will
126. 'drop' the virus into the boot sector of the designated drive. Yes,
127. they're THAT user friendly :).
128.  
129. > +++Detectors+++
130. > +++++++++++++++
131. > What the detectors do is watch for virus activity.  For example, some
132. > viruses try and erase your hard disk.  What a detector does is sit in
133. > the background and watches for an illegal or abnormal attempt to do
134. > something to the hard disk.  Then all sorts of alarms and bells go off
135. > ("Warning Will Robinson!  Warning!") and the detector tries to stop
136. > the virus from doing it.  Some will also ask you if you want to allow
137. > whatever action is taking place since you might actually be trying to
138. > format your hard disk.
139.  
140. This is PARTLY true. What these memory resident things do is keep an
141. eye on specific DOS interrupts and notify the user if a certain
142. interrupt function is being attempted. More often than not these are
143. the interrupts 13h and 21h. Such memory resident alarms can be easily
144. disabled by handling the error quietly or grabbing the interrupt
145. before the memory resident alarm does.
146.  
147. > You must know that the detector only checks program files.  It would be a
148. > real pain if every time you changed your term paper the detector went off.
149. > However, this is not a weakness since only program files can contain
150. > the viruses.
151.  
152. Again, partly true. Integrity Master v1.23 by Wolfgang Stiller keeps
153. track of the crcs of all files and stores them in files called ID.)(
154. <or something to that extent>. Changing the values in these files or
155. removing them altogether is a common virus technique.
156.  
157. > However, since I took a shot at McAfee, I must also state this: I have
158. > known people to use McAfee's software and be 100% satisfied with no
159. > complaints.  They like McAfee's software and continue to use it. It
160. > works for them and meets their needs.  I hate both McAfee and his software,
161. > and I refuse to use it ever, so you must decide for yourself.
162.  
163. Oh, leave John alone :). The least I can say is at least his product
164. is free <Central Point is supposed to be bought> to the public. I
165. myself prefer Fridrik Skulason's F-PROT program. Not only does it
166. check for more than one virus signature, the heuristic scan is
167. formidable to viruses. It checks for viral-like code, not signatures.
168. It's just one step closer to having a scanner disassemble the program.
169.  
170. > "BBS's are the major cause of virus spreading"
171. > ++++++++++++++++++++++++++++++++++++++++++++++
172. > FALSE FALSE FALSE!!  The major cause of virus spreading is LAN's and
173. > also copying from friends.  BBS's merely store programs that you can copy
174. > and most people who run BBS's try and make sure none of them have viruses.
175. > A BBS is just copying from a friend over a modem.  BBS's do not need to
176. > be shut down or restricted because of viruses.  It is up to *you* to
177. > protect yourself from *any* program contamination no matter where
178. > you copy the program from (i.e., a friend or BBS).
179.  
180. Well, I do acknowledge that the threat BBSs pose to virulence is
181. minimal, but only because 99% of the time only executable viruses are
182. downloaded and inadvertently run. It's not often an unsuspecting user
183. downloads a 900k TD0 file and gets infected :). Point being that
184. virulence in executable files is minimal compared to that of boot
185. sectors, hence the BBSs ineffectiveness.
186.  
187. > Some of you may have heard of Virus Exchange BBS's.  Let me explain what
188. > this is:
189. >
190. > (etc...)
191. >
192. > Now on these virus exchange BBS's, they 99% of the time just have virus
193. > SOURCE FILES not virus programs.  The source files CANNOT cause infection.
194. > They must be fed to an assembler or a compiler first to become a program.
195. > Remember that for a virus to become active it must be run as a program.
196. > These BBS's do not distribute virus programs, but virus source files.
197.  
198. When is the last time you've been on a Vx BBS? I would say that 99% of
199. them possess and strive for the executables, and couldn't care less
200. about the sources. The reason being that Vx sysops usually just care
201. about the power and prestige of having 100+ viruses. Rarely do they
202. actually run the viruses to see if they are. Point being <yes, again>
203. the WHORE! virus, a copy of COMMAND.COM renamed to show how
204. inefficient Vx sysops are at checking the authenticity of their files.
205. They're similar to pirate BBSs in a way, only caring about having the
206. viruses and most of the time not using them. The average pirate BBS
207. will have the latest releases and they'll be downloaded, etc, but
208. maybe 5% of the people downloading will actually use the programs.
209. Viruses are like this. They are usually just a commodity, and only the
210. small 1% <the virally elite, as Quayle would say> care about the
211. source and validity of the files.
212.  
213. > For right now, let me just say that in a nutshell, Virus Exchange BBS's do
214. > NOT DIRECTLY cause infections.  I think even the so-called "experts" would
215. > agree with that.
216.  
217. But of course! Where do you think they get THEIR viruses? :)
218.  
219. > "The first virus was written by..."
220. > +++++++++++++++++++++++++++++++++++
221. > No one knows.  However, if you were to ask me, I will say the first
222. > virus was written by the first person who made copy-protection.  Why?
223.  
224. Or cares, really. I'm sure there are those out there that know of the
225. COREWARS story, so I'll spare relating it here.
226.  
227. > "They endanger National Security and the military!"
228. > +++++++++++++++++++++++++++++++++++++++++++++++++++
229. > Hahahahahahaha!  All I have to say is that most viruses (like 99.9%)
230. > attack only personal computers, and any military or government that depends
231. > on personal computers for national security and weaponry has more problems
232. > than viruses.  And furthermore, what are they doing letting missile officers
233. > run MacPlaymate on the missile control computer anyhow?
234.  
235. Well, most govt. security installations <example : Treasury Dept> do
236. run LANs, and not only are they susceptible to viruses, there are
237. several viruses designed to seek out and foul up LAN systems. Frankly,
238. PCs are cheaper and more efficient than mainframes from the 80s, and
239. they are used in a wider scope than you'd believe.
240.  
241. Well, I'd say that the most likely place to find these virus authors,
242. in step with the end note, are echomail nets designed for virus
243. authors.  Like..
244.  
245.  * VX_NET - Virus Exchange NET, an up-and-coming non-partisan net. Directed
246.             towards unity and making fun of the anti-viral community.
247.  
248.  * Phalcon/Skism NET - The virus echos are a place for learning, and you can
249.                        contact the members on this net.
250.  
251.  * [NuKE] Net - Another net from a virus group, get in contact with them on it.
252.  
253.  * VIRUS_INFO on FIDO - Surprisingly enough, virus authors abound there with
254.                         fake names, contributing to confusion and getting a
255.                         good laugh at the expense of the anti-viral crew.
256.  
257. Interestingly enough, there's been some progression of rivalry between
258. the pro-viral and anti-viral communities <as the names indicate>. Way
259. back when, virus authors released their wares. Then, the anti-viral
260. communities recognized that they could either (i) be altruistic in
261. their ways and help their fellow man or (ii) make a quick buck off of
262. human suffering. They wrote anti-viral wares and organized. The virus
263. authors did not like this. They themselves organized and now have
264. become more Anti-Anti-Viral than Pro-Viral. I have no idea what
265. significance this progression has, and leave it to you capable readers
266. to determine what will happen. Yes, virus authors are in it now more
267. for making fun and avenging themselves of the anti-viral authors, who
268. in turn do the same in their programs. Etc, Etc, Etc.
269.  
270. So here's what I do. On my 'underground e-leet Vx' BBS, I make all
271. viruses and other files free on the first call. There's even a command
272. to download entire file bases. Meaning, if you release all of these
273. viruses to your users, they in turn set up BBSs and become Vx sysops
274. themselves. Hopefully, besides using viruses as a commodity, the
275. fledgling sysop will look at a few of the pro-viral utilities and some
276. of the source code. Perhaps the sysop will want to maybe get in on
277. this ASM thing and learn a thing or two, perhaps the sysop will become
278. a virus writer over time. Thus, like the viruses we propagate, we
279. propagate. We force nothing into the minds and computers of others,
280. it's all part of curiosity and voluntary. We help people to find their
281. calling <forgive me for sounding like a religious fanatic or cult
282. leader here..> in whatever field of modem-dom they like. I know it's
283. an empty desire, to want other sysops to do the same, but it's a
284. desire nonetheless.
285.  
286. In conclusion, I just wanted to clear up some things about both
287. viruses <yes, there are only two of them! surprise!> and the pro-viral
288. community. May you all find your calling and make it possible for
289. others to do the same, as that sysop long ago did the same, custom
290. made to do just that <I could not resist>.
291.  
292.              In spirits,
293.                   Guido Sanchez
294.  
295. Oh yes, and if you are interested in the theory of thought viruses,
296. more information can be obtained on the BBS Nun-Beaters Anonymous,
297. 708/251-5094.  Thank you for your 'time'.
298.  
299. Downloaded From P-80 International Information Systems 304-744-2253
300.