home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virus.doc

< prev

next >

Wrap

Text File  |  1995-01-03  |  205KB  |  6,202 lines

---

1.  
2. COMPUTER VIRUS EPIDEMIC
3. 1987-1991
4.  
5.  
6. ONLINE TODAY'S BACKGROUNDER: COMPUTER
7. "VIRUS," PART ONE
8.  
9.   (Editor's note: Computer "viruses" --
10. self-propagating programs that spread
11. from one machine to another and from one
12. disk to another -- have been very much
13. in the news. This file contains
14. virus-related stories carried by Online
15. Today's electronic edition since the
16. outbreak in November 1987 through March
17. 1988.)
18.  
19. "VIRUS" INFECTS COMMODORE COMPUTERS
20.  
21.   (Nov. 20)
22.   A "virus" has been infecting
23. Commodore's Amiga computers, and what
24. was once considered an innocent bit of
25. hacking has turned into a disaster for
26. some users.
27.   The "virus" is a secret modification
28. to the boot block, an area on many disks
29. using operating system facilities of the
30. Amiga. In addition to its transparent
31. purpose --- starting the operating
32. system -- the virus contains code that
33. can infect other disks.  Once a virus
34. infected disk is used on a computer, the
35. computer's memory becomes a breeding
36. ground and all other bootable disks that
37. find their way to that computer will
38. eventually become infected. Any exchange
39. of diskettes with another computer then
40. infects the new computer.
41.   Although the original intention of the
42. virus apparently was benign, it may have
43. spread to thousands of Amiga computers
44. and disrupted their normal operations.
45. Since some commercial software
46. developers use coded information in the
47. boot block of their distribution disks,
48. the virus can inadvertently damage these
49. disks and render the software useless.
50. Knowledgeable users say the virus was
51. meant to be a high-tech joke that
52. displayed a message after it had
53. completely infiltrated a user's disks
54. library.
55.   According to Amiga technical support
56. personnel, the only sure way for users
57. to keep the virus out of their systems
58. is to avoid warm starting the computer.
59. It should always be powered down first.
60.   --
61.  
62.  
63. VIRUS MOVES TO IBM COMPUTERS
64.  
65.   (Dec. 7)
66.   On the heels of the Amiga virus,
67. reported recently in Online Today, a new
68. apparently less benign virus has been
69. making the rounds of IBM personal
70. computers. The IBM-related virus was
71. first noted at Lehigh University where,
72. last week, a representative in the User
73. Services section reported its discovery
74. by student consultants.
75.   As with other similar viruses, this
76. one is spread by means of an infected
77. system file. In this case, a hacked
78. version of IBM's COMMAND.COM processor
79. is the host that harbors the virus. 
80. Once infected, the host PC will then
81. infect the first four computers with
82. which it comes in contact. In all cases,
83. the virus is spread through an illegally
84. modified version of the IBM command
85. processor.
86.   Once the host has infected four other
87. computers, the host virus is reported to
88. purposely destroy the boot tracks and
89. allocation tables for all disks and
90. diskettes that are online to the host
91. computer. The action renders the disks
92. completely unreadable, even when
93. reconstructs are attempted with popular
94. disk repair software.
95.   The consultant at Lehigh University
96. who first alerted general users to the
97. virus says that it can be detected by
98. examining the date on the COMMAND.COM
99. file. A recent date would suggest that
100. the file had been illegally modified.
101.   --
102.  
103.  
104. CHRISTMAS GREETINGS MESSAGE TIES UP
105. IBM'S ELECTRONIC MAIL SYSTEM
106.  
107.   (Dec. 12)
108.   IBM nearly lost its Christmas spirit
109. yesterday. It seems that a digital
110. Christmas card sent through its
111. electronic mail system jammed computers
112. at plants across the United States for
113. up to 90 minutes.
114.   The Associated Press quotes IBM
115. spokesman Joseph Dahm as saying the
116. incident caused no permanent damage, but
117. forced the company to turn off links
118. between computer terminals for a while.
119.   AP says, "Curious employees who read
120. the message discovered an illustration
121. of a Christmas tree with 'Holiday
122. Greetings' superimposed on it. A caption
123. advised, 'Don't browse it, it's more fun
124. to run it.' Once a person opened the
125. computer message on their screen, it
126. rarely accepted a command to stop the
127. message from unfolding on the screen. As
128. a result, several people shut off their
129. computers and lost reports or mail that
130. had not previously been filed."
131.   Apparently the message also
132. automatically duplicated itself and was
133. sent to other workstations.
134.   Online plants in Texas and New York
135. were affected, Dahm said. Meanwhile,
136. sources said that other facilities in
137. Charlotte, N.C.; Lexington, Ky.;
138. California and Europe also received the
139. message.
140.   Federal agents even may investigate
141. the incident, the wire service says,
142. since the message apparently crossed
143. state lines.
144.   --
145.  
146.  
147.  
148. COMPUTER VIRUS THREATENS HEBREW
149. UNIVERSITY'S EXTENSIVE SYSTEM
150.  
151.   (Jan. 8)
152.   In Jerusalem, Hebrew University
153. computer specialists are fighting a
154. deadline to conquer a digital "virus"
155. that threatens to wipe out the
156. university's system on the first Friday
157. the 13th of the year. That would be May
158. 13.
159.   Associated Press writer Dan Izenberg
160. says the experts are working on a
161. two-step "immune" and "unvirus" program
162. that could knock down the vandalized
163. area of the system.
164.   "Viruses" are the latest in computer
165. vandalism, carrying trojan horses and
166. logic bombs to a new level, because the
167. destructiveness is passed from one
168. infected system to another. Izenberg
169. quotes senior university programmer
170. Yisrael Radai as saying that other
171. institutions and individual computers in
172. Israel already have been contaminated.
173.   "In fact," writes the wire service,
174. "anyone using a contaminated computer
175. disk in an IBM or IBM-compatible
176. computer was a potential victim."
177.   Radai says the virus was devised and
178. introduced several months ago by "an
179. evidently mentally ill person who wanted
180. to wield power over others and didn't
181. care how he did it."
182.   AP describes the situation this way:
183.   "The saboteur inserted the virus into
184. the computer's memory and the computer
185. then infected all disk files exposed to
186. it. Those disk files then contaminated
187. healthy computers and disks in an
188. electronic version of a contagious
189. cold."
190.   Apparently, the intruder wanted to
191. wipe out the files by Friday, May 13,
192. but may have gotten impatient, because
193. he then had his virus order contaminated
194. programs to slow down on Fridays and on
195. the 13th day of each month.
196.   Radai thinks that was the culprit's
197. first mistake, because it allowed
198. researchers to notice the pattern and
199. set about finding the reason why.
200.   "Another clue," says AP, "was derived
201. from a flaw in the virus itself. Instead
202. of infecting each program or data file
203. once, the malignant orders copied
204. themselves over and over, consuming
205. increasing amounts of memory space. Last
206. week, experts found the virus and
207. developed an antidote to diagnose and
208. treat it."
209.   Of viruses in general, computer expert
210. Shai Bushinsky told AP, "It might do to
211. computers what AIDS has done to sex. The
212. current free flow of information will
213. stop. Everyone will be very careful who
214. they come into contact with and with
215. whom they share their information."
216.   --
217.  
218.  
219. TAMPA COMPUTERISTS FIGHT VIRUS
220.  
221.   (Jan. 10)
222.   Tampa, Fla., computerists say they are
223. fighting a digital "virus" that sounds
224. as if it may be the same crank program
225. now plaguing a university in Jerusalem.
226.   As reported earlier, Hebrew University
227. computer specialists are contending with
228. a virus program that threatens to wipe
229. out the university's system on the first
230. Friday the 13th of the year -- May 13.
231. The Jerusalem team is working on a
232. two-step "immune" and "unvirus" program
233. that could knock down the vandalized
234. area of the system.
235.   Meanwhile, members of the Tampa Amiga
236. User's Group now tell United Press
237. International that they, too, are
238. fighting a computer virus, and UPI
239. quotes one expert as saying a version of
240. that vandalizing program also is
241. designed to begin destroying files on
242. May 13.
243.   Computer viruses are self-propagating
244. programs that spread from one machine to
245. another and from one disk to another, a
246. sort of new generation of more
247. destructive trojan horses and logic
248. bombs.
249.   "It kinda creeps up on you," president
250. Jeff White of the Amiga group told the
251. wire service, adding that the group's
252. membership was infiltrated by the
253. program.
254.   UPI reports, "Experts don't yet know
255. what, if any, damage the virus can cause
256. to the disks or programs. Similar
257. problems have erased programs and
258. information. ... White said the program
259. spread itself to more than 20 of his
260. floppy disks before he discovered it.
261. But by then, the program had spread to
262. the disks of many of the club's members
263. via its regular disk-of-the-month
264. distribution."
265.   White said he doesn't know how the bug
266. got to Tampa, but suspects it came from
267. West Germany on a disk from an overseas
268. user group.
269.   "White said the program works
270. invisibly," says UPI. "When the computer
271. is turned on, the program stores itself
272. in the machine's main memory and then
273. begins spreading copies of itself to new
274. disks used in the machine."
275.   He added that the Tampa club members
276. now use a "virus-checker" program to
277. test disks to prevent another infection.
278.   --
279.  
280.  
281. VIRUS PROGRAMS COULD HAVE USEFUL
282. APPLICATIONS, SAYS COLUMNIST
283.  
284.   (Jan. 11)
285.   Despite all the recent negative
286. publicity about computer "viruses" --
287. self-propagating programs that spread
288. from one machine to another in way that
289. has been called the computer version of
290. AIDS -- a California computer columnist
291. says there could be a positive result.
292.   Writing in The San Francisco Examiner,
293. John Markoff observes, "In the future,
294. distributed computing systems harnessed
295. by software programs that break tasks
296. into smaller parts and then run portions
297. simultaneously on multiple machines will
298. be commonplace. In the mid-1970s
299. computer researchers John Shoch and Jon
300. Hupp at Xerox's Palo Alto Research
301. Center wrote experimental virus programs
302. designed to harness many computers
303. together to work on a single task."
304.   Markoff points out that some of the
305. programs in that work functioned as
306. "'town criers' carrying messages through
307. the Xerox networks; others were
308. diagnostic programs that continuously
309. monitored the health of the computers in
310. the networks."
311.   Also the researchers called one of
312. their programs a "vampire worm" because
313. it hid in the network and came out only
314. at night to take advantage of free
315. computers. In the morning, it
316. disappeared again, freeing the machines
317. for human users.
318.   For now, nonetheless, most viruses --
319. particularly in the personal computing
320. world -- are viewed as destructive
321. higher forms of trojan horses and logic
322. bombs.
323.   Markoff traces the first virus to the
324. military ARPAnet in 1970. On that
325. system, which links the university,
326. military and corporate computers,
327. someone let loose a program called
328. "creeper."
329.   Notes the paper, "It crawled through
330. the network, springing up on computer
331. terminals with the message, 'I'm the
332. creeper, catch me if you can!' In
333. response, another programmer wrote a
334. second virus, called 'reaper' which also
335. jumped through the network detecting and
336. 'killing' creepers."
337.   Markoff also pointed out that Bell
338. Labs scientist Ken Thompson, winner of
339. the prestigious Turing Award, recently
340. discussed how he created a virus in the
341. lab to imbed in AT&T's Unix operating
342. system, which he and colleague Dennis
343. Ritchie designed.
344.   In a paper, Thompson noted how he had
345. embedded a hidden "trapdoor" in the Unix
346. log-on module each time it created a new
347. version of the operating system. The
348. trapdoor altered the log-on mechanism so
349. that Unix would recognize a password
350. known only to Thompson.
351.   Thompson and Ritchie say the Unix
352. virus never escaped Bell Labs.
353.   --
354.  
355.  
356. SUBSCRIBER, SYSOP BLOCK POSSIBLE "VIRUS"
357. IN APPLE HYPERCARD FORUM
358.  
359.   (Feb. 8)
360.   Quick reactions by a subscriber and a
361. veteran forum administrator have blocked
362. a possible computer "virus" program that
363. was uploaded over the weekend to
364. CompuServe's new Hypercard Forum.
365.   The suspicious entry was an Apple
366. Hypercard "stack" file called
367. "NEWAPP.STK," which was uploaded Friday
368. to the forum's Data Library 9,
369. "HyperMagazines." It was online for
370. about 24 hours before it was caught.
371.   Subscriber Glenn McPherson was the
372. first to blow the whistle. Saturday
373. night McPherson posted a message saying
374. that when he ran the application, the
375. file altered his Macintosh's systems
376. file. "I don't know why it did this," he
377. wrote, "but no stack should touch my
378. system file."
379.   Neil Shapiro, chief forum
380. administrator of the Micronetworked
381. Apple Users Group (MAUG), quickly
382. investigated and removed the suspicious
383. file.
384.   In a bulletin to the membership,
385. Shapiro warned those who already had
386. downloaded NEWAPP.STK that the stack
387. would alter the system files with
388. unknown results. He also warned against
389. using system files from any disk that
390. was run while the NEWAPP.STK's modified
391. system was in effect.
392.   Said Shapiro, "If you run NEWAPP.STK,
393. it will modify the system on the disk it
394. is on so that the system's INITs contain
395. an INIT labeled 'DR.' Then, if you use
396. another system with the DR-infected
397. system as your boot system, the new
398. system will also contain the
399. self-propagating 'DR' INIT Resource.
400. While it is possible to, apparently,
401. 'cut' this resource from infected
402. systems with the Resource Editor, the
403. only sure course of action is to trash
404. any system file that has come in contact
405. with this stack."
406.   It was not immediately known if the
407. system alternations were deliberately or
408. accidentally programmed into NEWAPP.STK.
409. Shapiro notes the file's uploader has
410. been locked off the entire system and
411. that "he will be contacted by CompuServe
412. and/or myself."
413.   Computer "viruses" -- self-
414. propagating programs that infect system
415. files and then spread to other disks --
416. have been in the news for the past six
417. months. To- date, most of their targets
418. have been regional computer users
419. groups, private and semi-public networks
420. and stand-along bulletin board systems.
421. This apparently is the first report of a
422. virus-like program on a national
423. consumer information service.
424.   Shapiro says in his bulletin that in
425. eight years of the various Apple forums'
426. operation, this is the only such
427. occurrence.
428.   "While I, of course, cannot say it
429. will be the last, I still have just as
430. much confidence as always in the fact
431. that 99.99999999% of the Mac community
432. are quite trustworthy and that there is
433. no real need to fear downloads," he
434. wrote.
435.   Shapiro also urged his membership, "If
436. you have not used (NEWAPP.STK) yet, do
437. not! If you have uploaded it to other
438. BBS or network systems, please
439. immediately advise the sysops there of
440. the problem. If you have placed it on a
441. club disk, please be certain to remove
442. it from that disk before distribution
443. and -- if it has been run from the
444. 'Master' disk already -- don't just
445. remove it, but trash the system."
446.   Subscriber McPherson indicates the
447. suspect file already has spread to other
448. systems. His forum note says he found
449. the same stack program also in a
450. software library on the General
451. Electric's GEnie network.
452.   --
453.  
454.  
455.  
456. DOD TRIES TO PROTECT ITS COMPUTERS FROM
457. ELECTRONIC VIRUS
458.  
459.   (Feb. 9)
460.   Just as a medical virus can spread
461. rapidly, so does the deadly computer
462. virus seem to be making the rounds.
463.   In an effort to inoculate itself
464. against an outbreak, the Department of
465. Defense has taken steps to prevent the
466. electronic sabotage from affecting its
467. computers, reports Government Computer
468. News.
469.   The computer viruses are self-
470. propagating programs that are designed
471. to spread automatically from one
472. computer to another and from one disk to
473. another, totally disrupting normal
474. operations.
475.   As reported in Online Today, such
476. viruses have already struck computer
477. systems at Hebrew University in
478. Jerusalem and IBM Corp.'s regional
479. offices in Tampa, Fla.
480.   "It can spread through computer
481. networks in the same way it spreads
482. through computers," said DOD spokeswoman
483. Sherry Hanson. "The major problem areas
484. are denial of service and compromising
485. data integrity."  In addition to basic
486. security measures, computer scientists
487. at the National Security Agency are
488. installing programming tools and
489. hardware devices to prevent the
490. infiltration of virus programs. Hanson
491. told GCN that DOD is also using
492. specialized ROM devices and intrusion
493. detectors.  The virus only comprises a
494. few lines of programming code and is
495. easy to develop with few traces.
496.   After IBM was infiltrated last
497. December with an innocent- looking
498. Christmas message that kept duplicating
499. itself many times over and substantially
500. slowed the company's massive message
501. system, specialists installed a filter
502. program to monitor the system and
503. protect against further intrusion.
504.   According to GCN, executable programs
505. can't be transferred from one computer
506. to another within IBM's network.
507.   Even personal computer users are
508. worried, since the virus remains hidden
509. in a computer's main memory. For
510. instance, almost the entire membership
511. of a Florida Commodore Amiga users group
512. was infected by a virus before it was
513. discovered.
514.   The president of the group said he
515. believed the virus originated in Europe
516. on a disk of programs the group received
517. from an overseas source. The club now
518. has a checker program to check disks for
519. viruses before they are used.
520.   Al Gengler, a member of the Amiga
521. group, compared the virus to AIDS.
522. "You've got to watch who you compute
523. with now," he said.
524.   --Cathryn Conroy
525.  
526.  
527. EXPERTS SEES TWO SCENARIOS FOR THE
528. COMPUTER "VIRUS" PROBLEM
529.  
530.   (Feb. 9)
531.   Don Parker, who heads the information
532. security program for the Menlo Park,
533. Calif., SRI International, has been
534. studying the problem of computer
535. "viruses" and now says he see two
536. possible directions in the future.
537.   Speaking with Pamela Nakaso of the
538. Reuter Financial News Service, Parker
539. said his scenarios are:
540.   -:- One, that viruses will be too
541. difficult to design and use for
542. infiltration, and that interest in using
543. them as "weapons" will die away.
544.   -:- Or, two, viruses will increase in
545. destructiveness as more sophisticated
546. saboteurs use them to destroy the public
547. domain software resources available.
548.   Nakaso also quotes editor Harold
549. Highland of the magazine Computers and
550. Security as saying that "hysteria" over
551. the few documented incidents may fuel
552. even more viruses, which are defined as
553. self-propagating files that usually
554. damage a computer's systems files and
555. then spread to other disks.
556.   Highland pointed out that in a recent
557. Australian virus case among Amiga
558. computers, one tabloid newspaper
559. reported the incident with a headline
560. that spanned the entire cover, reading,
561. "Terror Strikes in the DP Industry."
562.   Parker told Reuter, "The vulnerability
563. is growing at the same rate as the
564. number of computers and number of
565. communications with computers."
566.   Nakaso writes, "Parker estimates that
567. of the 2,000 cases of documented
568. computer crime he has compiled at SRI,
569. about 20 to 30 have been virus attacks.
570. There is no question, however, the
571. reported incidents are rising, and they
572. are expanding beyond personal computers
573. to mainframes and other networks."
574.   --
575.  
576.  
577.  
578. COMPUTER VIRUS CALLED FRAUD
579.  
580.   (Feb. 10)
581.   Computer viruses may be frauds.
582. Although lots of people are talking
583. about computerdoms latest illicit fad,
584. to date, no one has produced a copy of a
585. living breathing virus. Now, a
586. University of Utah expert on urban
587. legends thinks that the dreaded virus
588. may be have become the high tech version
589. of the bogey man.
590.   Professor Jan Harold Brunvand has
591. written three books about urban legends
592. and he seems to think that the virus is
593. just the latest incarnation in a long
594. line of legends. Brunvand, and others,
595. have pointed out that there are striking
596. similarities among reports of the virus
597. and legends such as the cat in the
598. microwave oven. For one thing, there are
599. lots of reported sightings but no
600. concrete evidence. And urban legends
601. always seem to appear and affect those
602. things about which urban dwellers are
603. just coming to terms with: shopping
604. malls and microwave ovens in the 70's,
605. computers in the 80's.
606.   In today's society, a berserk computer
607. that destroys its owner's data certainly
608. qualifies as the stuff about which
609. legends are made. Even the way in which
610. the deed is accomplished has mystical
611. qualities: a computer wizard works
612. strange magic with the secret
613. programming codes of a computer
614. operating system.
615.   Brunvand, a computer owner himself,
616. says that although viruses could be
617. created, he has found absolutely no
618. evidence to support claims about their
619. existence.
620.   --
621.  
622.  
623.  
624. HYPERCARD VIRUS JUDGED "HARMLESS"
625.  
626.   (Feb. 12)
627.   Administrators of a CompuServe forum
628. supporting the Apple Hypercard
629. technology have confirmed that a file
630. uploaded to their data libraries last
631. weekend did indeed contain a so-called
632. computer "virus."
633.   However, they also have determined the
634. program apparently was harmless, meant
635. only to display a surprise message from
636. a Canadian computer magazine called
637. MacMag.
638.   As reported earlier this week, forum
639. administrator Neil Shapiro of the
640. Micronetworked Apple Users Groups (MAUG)
641. removed the suspicious entry, a
642. Hypercard "stack" file called
643. "NEWAPP.STK," after a forum member
644. reported that the file apparently
645. altered his Macintosh's system files.
646.   Computer "viruses," a hot topic in the
647. general press these days, have been
648. defined as self-propagating programs
649. that alter system files and then spread
650. themselves to other disks.
651.   Since removing the file last weekend,
652. the Apple administrators have been
653. examining the file and now Shapiro says
654. it apparently was designed merely to
655. display a message from MacMag on March
656. 2.
657.   On the HyperForum message board (G
658. APPHYPER), Shapiro reports, "Billy
659. Steinberg was able to reverse engineer
660. (disassemble) the INIT that the virus
661. places into system files. The good news
662. is that the virus is harmless. But it
663. *is* a computer virus."
664.   Shapiro says that if the downloaded
665. file remained in the user's system, then
666. on March 2, the screen would display:
667.   "Richard Brandnow, publisher of
668. MacMag, and its entire staff would like
669. to take this opportunity to convey their
670. universal message of peace to all
671. Macintosh users around the world."
672.   Apparently the file is so designed
673. that after March 2 it removes itself
674. from the user's system.
675.   Shapiro notes that, while this file
676. apparently is harmless, it still raises
677. the question of the propriety of
678. database entries that quietly alter a
679. user's system files.
680.   Shapiro said he has spoken to
681. publisher Brandnow. "It was not his
682. intention to place it in a HyperCard
683. stack nor to have it on (CompuServe),"
684. Shapiro writes. "What he did do was to
685. develop the INIT in December and 'left'
686. it on their (MacMag's) own machines with
687. the hope that 'it would spread.'"
688.   Subsequently, someone else apparently
689. captured the file, added it to his
690. "stack" and uploaded to the CompuServe
691. forum and other information services.
692.   While Brandnow maintains the
693. system-altering INIT file was harmless,
694. Shapiro says he's concerned about what
695. the NEWAPP.STK incident could represent.
696.   "While the INIT itself is
697. non-destructive," Shapiro wrote, "I
698. believe it was at least irresponsible
699. for MacMag to have perpetrated this type
700. of problem and to have caused the
701. confusion that they did. I also fear
702. that this could give other people ideas
703. on less peaceful uses of such a virus.
704.   "I believe that MacMag has opened here
705. a Pandora's Box of problems which will
706. haunt our community for years. I hope I
707. am wrong."
708.   --
709.  
710.  
711. PUBLISHER DEFENDS HIS "VIRUS" PROGRAM AS
712. "GOOD FOR COMMUNITY"
713.  
714.     (Feb. 13)
715.   The publisher of Canadian computer
716. magazine MacMag contends the computer
717. "virus" program his staff initiated
718. recently was not only harmless but was
719. "good for the Macintosh community."
720.   Says 24-year-old Richard Brandow, "If
721. other people do nasty things (with virus
722. programs), it is their responsibility.
723. You can't blame Einstein for Hiroshima."
724.   Speaking by phone with reporter Don
725. Clark of The San Francisco Chronicle,
726. Brandow maintained his magazine's virus
727. program, which spread through the Apple
728. Macintosh community this week on this
729. continent and apparently reached Europe,
730. was intended to do nothing more than
731. display a "peaceful" message on Mac
732. screens on March 2, the first
733. anniversary of the introduction of the
734. Apple Mac II.
735.   Of the so-called "virus" technology,
736. Brandow said, "This message is very good
737. for the Macintosh community."
738.   The controversy centered around an
739. Apple Hypercard "stack" file called
740. "NEWAPP.STK" that was uploaded to
741. various public domain databases around
742. the country, including the data library
743. of CompuServe's HyperForum (G APPHYPER).
744.   When subscribers discovered that the
745. file quietly altered their Mac's system
746. files when it was executed, a warning
747. was posted and forum administrator Neil
748. Shapiro immediately removed the data
749. library entry. Only after the forum's
750. sysops had disassembled the suspect file
751. could it be determined that NEWAPP.STK's
752. only apparent function was to display a
753. March 2 greeting from Brandow and the
754. MacMag staff.
755.   HyperForum members now have been
756. informed that the file, while indeed a
757. "virus," apparently is harmless.
758. However, Shapiro contends MacMag
759. staffers were "at least irresponsible
760. ... to have perpetrated this type of
761. problem and to have caused the confusion
762. that they did."
763.   Shapiro is quoted in The Chronicle as
764. adding, "This is very similar to someone
765. breaking into your home and writing a
766. message of good will in red lipstick on
767. your wall. It is a violation of the
768. right of private property... Our
769. computers are machines that belong to us
770. and other people should remain out of
771. them."
772.   On the other side of the argument,
773. Brandow told the paper, "The idea behind
774. all this is to promote peaceful methods
775. of communication between individuals
776. using harmless ways."
777.   Montreal-based MacMag, with a
778. circulation of 40,000, is Canada's only
779. Macintosh magazine. Brandow also heads a
780. 1,250-member Mac user group, which he
781. says is Canada's largest.
782.   Brandow told Clark that programmers
783. worked more than a year on the virus,
784. adding that it was inspired by two
785. groups, known as "The Neoists" and "The
786. Church of the SubGenius." (He said the
787. latter was formed in Texas as a satire
788. on fundamentalist religion and inspired
789. a 1983 book.)
790.   As noted here earlier, the MacMag
791. virus also reached beyond CompuServe to
792. other information services and private
793. bulletin board systems. For instance,
794. The Chronicle quotes General Manager
795. Bill Louden of General Electric's GEnie
796. as saying that about 200 users
797. downloaded the file from that
798. information service before it was
799. discovered and removed early Monday.
800. Meanwhile, Shapiro told Clark that only
801. about 40 of CompuServe's subscribers
802. retrieved the file before it was removed
803. early Sunday.
804.   The Chronicle says that Mac devotees
805. in the Bay Area were "stunned" by news
806. of the virus, but not all were upset.
807. For example, Apple wizard Andy
808. Hertzfeld, a co-designer of the original
809. Mac, told the paper, "As far as I'm
810. concerned, it doesn't have any malicious
811. intent and is just some people having
812. fun. I don't see why people are so
813. uptight."
814.   Meanwhile, a spokeswoman for Apple at
815. company headquarters in Cupertino,
816. Calif., said the company is searching
817. for details of the virus and could not
818. comment on it at present.
819.   --
820.  
821.  
822.  
823. TWO FIRMS OFFER TO "INOCULATE" US
824. AGAINST THE COMPUTER "VIRUSES"
825.  
826.   (March 4)
827.   The debate continues over whether
828. computer "viruses" are real or just the
829. latest urban legend, but at least two
830. companies are hoping that we don't want
831. to take any changes.
832.   Independent of each other, the firms
833. this week both claimed to have the first
834. commercial software to "inoculate"
835. systems against those reported rogue
836. programs that damage data and systems
837. files.
838.   One of the companies, Lasertrieve Inc.
839. of Metuchen, N.J., introduced its
840. VirALARM product during Microsoft
841. Corp.'s CD-ROM conference in Seattle.
842.   In addition, in Stockholm, a Swedish
843. company called Secure Transmission AB
844. (Sectra) today announced a similar
845. anti-virus program called TCELL, after a
846. counterpart in human biology.
847.   A Lasertrieve statement contends that
848. previous anti-viral software utilities
849. -- mostly offered in the public domain
850. -- work by drawing attention to the
851. virus's attempted alterations of system
852. files, noting a change of file size, or
853. monitoring the dates of program changes.
854. However, the New Jersey firm contends,
855. this approach makes such programs
856. "easily fooled by sophisticated
857. viruses."
858.   Lasertrieve says its VirALARM contains
859. a program designed to protect another
860. program, creating a software "barrier."
861. According to the statement, before
862. anyone can use the protected program,
863. VirALARM checks to determine whether the
864. program has been altered since it was
865. inoculated. If there has been any
866. change, the software then blocks use of
867. the altered program, notifies the user
868. and suggests a backup copy of the
869. program be substituted.
870.   Meanwhile, Bo-Goran Arfwidsson,
871. marketing director of the Swedish
872. company, told Bengt Ljung of United
873. Press International that its TCELL
874. "vaccine" gives a database a partial
875. outside protection, sounds an alarm if a
876. computer virus appears inside a database
877. and identifies the infected file so it
878. can be isolated. The contaminated part
879. then can be replaced with a backup file.
880.   Sectra spokesman Torben Kronander said
881. that TCELL has been "tested for a year
882. now and there is no question that it
883. works," adding that since early 1987 the
884. software has functioned on computers of
885. major Swedish manufacturing companies.
886. Arfwidsson declined to name those
887. companies for security purposes.
888.   Kronander said TCELL simply made the
889. task of creating a virus so complicated
890. that only vast computer systems would be
891. able to carry it out. "We've effectively
892. removed the hacker type of attack, and
893. these have been the problem. It will
894. take the resources of a major software
895. producer or a country to produce a virus
896. in the future."
897.   UPI says Sectra is a 10-year-old
898. research company with 19 employees in
899. Linkoping in central Sweden, closely
900. tied to the city's Institute of
901. Technology.
902.   --
903.  
904.  
905.  
906. "VIRUS" SPREADS TO COMMERCIAL PROGRAM;
907. LEGAL ACTION CONSIDERED
908.  
909.   (March 16)
910.   That so-called "benign virus" that
911. stirred the Apple Macintosh community
912. earlier this year when it cropped up in
913. a public domain file in forums on
914. CompuServe and other information
915. services now apparently has invaded a
916. commercial program called FreeHand.
917.   The publisher, Seattle's Aldus Corp.,
918. says it had to recall or rework some
919. 5,000 FreeHand packages once the virus
920. was discovered and now is considering
921. legal action against those who admitted
922. writing the self- propagating program.
923.   Meanwhile, other major software
924. companies reportedly are worried that
925. the virus may have affected some of
926. their products as well.
927.   At the heart of the controversy is a
928. "peace message" that Canadian Richard
929. Brandow, publisher of Montreal's MacMag
930. magazine, acknowledged writing. As
931. reported here earlier, that file was
932. designed to simply pop up on Mac screens
933. around the world on March 2 to celebrate
934. the first anniversary of the release of
935. the Macintosh II. However, many Mac
936. users reacted angrily when they learned
937. that the file quietly had altered their
938. systems files in order to make the
939. surprise message possible.
940.   Now the virus has re-emerged, this
941. time in FreeHand, a new Mac program
942. Aldus developed. Aldus spokeswoman Laury
943. Bryant told Associated Press writer
944. George Tibbits that Brandow's message
945. flashed when the program was loaded in
946. the computer.
947.   Bryant added that, while it "was a
948. very benign incident," Aldus officials
949. are angry and "are talking with our
950. attorneys to understand what our legal
951. rights are in this instance.... We feel
952. that Richard Brandow's actions deserve
953. to be condemned by every member of the
954. Macintosh community."
955.   This may be the first instance of a
956. so-called "virus" infecting commercial
957. software.
958.   Tibbits says the Brandow virus
959. apparently inadvertently spread to the
960. Aldus program through a Chicago
961. subcontractor called MacroMind Inc.
962.   MacroMind President Marc Canter told
963. AP that the virus appears to have been
964. in software he obtained from Brandow
965. which included a game program called
966. "Mr. Potato Head," a version of the
967. popular toy.
968.   Canter said that, unaware of the
969. digital infection, he ran the game
970. program once, then later used the same
971. computer to work on a disk to teach Mac
972. owners how to use FreeHand. That disk,
973. eventually sent to Aldus, became
974. infected. Then it inadvertently was
975. copied onto disks sold to customers and
976. infected their computers, Canter said.
977.   Upset with Brandow, Canter says he
978. also is considering legal action. For
979. his part, Brandow says he met Canter,
980. but denied giving him the software.
981.   The whole incident apparently has some
982. at other companies worried because they
983. also use Canter's services. Tibbits says
984. that among MacroMind's clients are
985. Microsoft, Ashton-Tate, Lotus
986. Development Corp. and Apple Computers.
987. A-T has not commented, but officials at
988. Microsoft, Apple and Lotus all told AP
989. that none of their software was
990. infected.
991.   Meanwhile, Brandow told Tibbits that,
992. besides calling for world peace, the
993. virus message was meant to discourage
994. software piracy and to encourage
995. computer users to buy original copies.
996.   The full message read: "Richard
997. Brandow, the publisher of MacMag, and
998. its entire staff would like to take this
999. opportunity to convey their universal
1000. message of peace to all Macintosh users
1001. around the world." Beneath that was a
1002. picture of a globe.
1003.   Brandow said that originally he
1004. expected people making unauthorized
1005. copies of programs on the machine would
1006. spread the virus in the Montreal area
1007. and possibly a few other areas of Canada
1008. and the United States. However, he said
1009. he was shocked later to find that, after
1010. the virus program began to appear in the
1011. databases of online information
1012. services, an estimated 350,000 people in
1013. North America and Europe saw the message
1014. pop up on their computers on March 2.
1015.   --
1016.  
1017.  
1018.  
1019. Last page !m
1020.  
1021. Online Today            OLT-2039
1022.  
1023. COMPUTER VIRUS EPIDEMIC
1024.  
1025.  1 Backgrounder, Part I
1026.  2 Backgrounder, Part II
1027.  3 Backgrounder, Part III
1028.  4 Backgrounder, Part IV
1029.  5 Backgrounder, Part V
1030.  6 Backgrounder, Part VI
1031.  
1032. Enter choice !2
1033.  
1034. Online Today            OLT-3125
1035.  
1036. ONLINE TODAY'S BACKGROUNDER: COMPUTER
1037. "VIRUS," PART TWO
1038.  
1039.   (Editor's note: Computer "viruses" --
1040. self-propagating programs that spread
1041. from one machine to another and from one
1042. disk to another -- have been very much
1043. in the news. This file contains
1044. virus-related stories carried by Online
1045. Today's electronic edition from April
1046. through November 1988.)
1047.  
1048.  
1049. Press <CR> for more !s
1050.  
1051.  
1052. THREAT OF "VIRUS" BLOWN OUT OF
1053. PROPORTION, NORTON AND SYSOPS SAY
1054.  
1055.   (April 10)
1056.   The threat of so-called computer
1057. "viruses" has been vastly overrated,
1058. according to software guru Peter Norton
1059. and two CompuServe forum administrators.
1060.   "We're dealing with an urban myth,"
1061. Norton told Insight magazine. "It's like
1062. the story of alligators in the sewers of
1063. New York. Everyone knows about them, but
1064. no one's ever seen them. Typically,
1065. these stories come up every three to
1066. five years."
1067.   Don Watkins, administrator of
1068. CompuServe's IBM Users Network forums
1069. (GO IBMNET) also told the general
1070. interest magazine that he's more
1071. concerned about being hit by a meteor
1072. than a computer virus.
1073.   "In five years," Watson said, "I've
1074. seen only one program that was designed
1075. to do intentional damage. That was about
1076. three years ago, and it wasn't very
1077. sophisticated.
1078.   "I have never spoken to anyone who
1079. personally, firsthand, has ever seen or
1080. experienced a program like this," Watson
1081. added, "and my job keeps me in touch
1082. with tens of thousands of people."
1083.   CompuServe forum administrators check
1084. each piece of user-contributed software
1085. before posting it in data libraries for
1086. general distribution.
1087.   The alleged virus problem received
1088. widespread attention in early March when
1089. an unauthorized message was placed onto
1090. Freehand, a commercial software product
1091. for the Apple Macintosh published by
1092. Aldus Corp. Earlier, the same message
1093. circulated in several information
1094. services and was uploaded to
1095. CompuServe's Hyper Forum, a forum
1096. devoted to the Hypertext technology that
1097. is part of the Micronetworked Apple
1098. Users Groups (GO MAUG).
1099.   The message read "Richard Brandow,
1100. publisher of MacMag, would like to take
1101. this opportunity to convey a universal
1102. message of peace to all Macintosh
1103. users." It then erased itself without
1104. doing any harm.
1105.   Of the situation, Neil Shapiro, MAUG's
1106. chief sysop, said, "The whole problem
1107. has been completely hyped out of
1108. proportion."
1109.   --Daniel Janal
1110.  
1111.  
1112. COMPUTER VIRUS NEWSLETTER DEBUTS
1113.  
1114.   (April 13)
1115.   If you want to follow all the latest
1116. news on insipid computer viruses, you
1117. might be interested in the debut of
1118. "Computer Virology," a newsletter
1119. devoted to identifying and analyzing
1120. those annoying computer diseases.
1121.   Produced by Director Technologies
1122. Inc., the developers of Disk Defender, a
1123. hardware device that write protects PC
1124. hard disks, the newsletter will be
1125. published monthly. Topics will include
1126. developments for protection against the
1127. viruses, precautions and procedures to
1128. follow to insure that terrorists not let
1129. loose this rampant epidemic.
1130.   "The latest strain of computer viruses
1131. presently causing serious damage at
1132. university labs, scientific research
1133. facilities, hospitals and business
1134. organizations worldwide, has created a
1135. very real concern for the future of
1136. having free access to the tremendous
1137. amounts of information that are now
1138. readily available for unlimited use,"
1139. said Dennis Director, president of
1140. Director Technologies.
1141.   "The potential dangers of such viruses
1142. is that they can be used not only as a
1143. means to facilitate malicious pranks in
1144. the home computer area, but also pose a
1145. real `terrorist' threat to academic
1146. computing labs, scientific research
1147. projects and business. Data loss can
1148. cost hundreds of thousands of dollars in
1149. real money, as well as in wasted
1150. man-hours."
1151.   The newsletter is distributed free of
1152. charge. For information or to subscribe,
1153. contact Director Technologies Inc., 906
1154. University Pl., Evanston, IL 60201.
1155. 312/491-2334.
1156.  
1157.  
1158. SIR-TECH UNVEILS ANTI-VIRUS
1159.  
1160.   (April 14)
1161.   Sir-tech Software Inc., the
1162. Ogdensburg, N.Y., firm best known for
1163. its recreational programs such as the
1164. acclaimed "Wizardry" series of adventure
1165. games, now has released a free program
1166. called "Interferon, the Magic Bullet"
1167. that it says is meant to "halt the
1168. devastation of computer virus."
1169.   A company statement reports that
1170. Robert Woodhead, 29-year-old director of
1171. Sir-tech's Ithaca, N.Y., development
1172. center, designed the Apple Macintosh
1173. program to "detect and destroy the
1174. highly-publicized computer virus which
1175. threatens the integrity of the world's
1176. computer systems."
1177.   Sir-tech says the program will be
1178. offered free for downloading from
1179. related services on CompuServe and
1180. GEnie. In addition, it is available by
1181. mailing a diskette with a
1182. self-addressed, stamped envelope to
1183. Sir-tech, 10 Spruce Lane, Ithaca, N.Y.
1184. 14850.
1185.   While the program itself is free,
1186. Woodhead asks for donations to a fund
1187. established to buy computer equipment
1188. for visually impaired users. A notice in
1189. the software gives details on the fund.
1190.   Woodhead said he has worked since
1191. early this year to come up with
1192. Interferon, named for the antiviral
1193. treatment for cancer. "Just as a virus
1194. leaves clues in a human body, the
1195. computer virus is detectable if users
1196. know what to look for," Woodhead said.
1197.   The Interferon program recognizes
1198. changes that computer viruses make as
1199. they spread their infection and will
1200. indicate that there is something amiss,
1201. the statement said. "The infection can
1202. be cured by deleting the diseased
1203. files," it added. "As new viruses are
1204. discovered, Interferon will be updated
1205. for instant detection."
1206.   --
1207.  
1208.  
1209.  
1210. NEW VIRUS PLAGUES MACINTOSHES AT NASA
1211. AND APPLE
1212.  
1213.   (April 18)
1214.   Apple Macintosh computers at the
1215. National Aeronautics and Space
1216. Administration and at Apple Computer as
1217. well as other business offices around
1218. the country have caught a new computer
1219. virus, reports Newsday.
1220.   The latest high-tech plague is under
1221. investigation by Apple and federal
1222. authorities.
1223.   During the past three weeks, Apple has
1224. been receiving reports of a virus called
1225. Scores. Although it has not been known
1226. to erase any data, it can cause
1227. malfunctions in printing and accessing
1228. files and can cause system crashes,
1229. Cynthia Macon of Apple Computer told
1230. Newsday.
1231.   Two hundred of the 400 Macintosh
1232. computers at the Washington, D.C.
1233. offices of NASA have been infected. 
1234. Many of them are connected to local area
1235. networks and are spreading the virus. 
1236. "This particular virus does not attack
1237. data.  We have no record indicating
1238. anyone lost anything important," said
1239. Charles Redmond, a NASA spokesman.
1240.   Newsday notes that the Scores virus
1241. can be detected by the altered symbols
1242. that appear in Scrapbook and Note Pad,
1243. two Macintosh files.  Instead of the Mac
1244. logo, users see a symbol that looks like
1245. a dog-eared piece of paper.  Two days
1246. after the virus is transmitted, it is
1247. activated and begins to randomly infect
1248. applications, such as word processing
1249. and spreadsheet programs.
1250.   EDS Corp. of Dallas, Texas was also
1251. infected with the Scores virus, but
1252. managed to stop its spread.
1253.   -- Cathryn Conroy
1254.  
1255.  
1256.  
1257. FRIDAY THE 13TH "VIRUS" FIZZLES
1258.  
1259.   (May 14)
1260.   Good morning, computerdom! It's
1261. Saturday the 14th and we're all still
1262. here. At least, we all SEEM to still be
1263. here, though some are saying it's too
1264. early to tell for sure.
1265.   Yesterday, the first Friday the 13th
1266. of the year, was widely reported to be
1267. the target date for the denotation of a
1268. computer virus called "Black Friday"
1269. which was first discovered in the
1270. computers of the Hebrew University in
1271. Jerusalem late last year. The virus,
1272. which was reported to have spread from
1273. Jerusalem to computers around the world,
1274. was said to be designed to destroy
1275. computer files on May 13.
1276.   However, no early reports of damage
1277. have surfaced. Computer experts in
1278. Jerusalem told Associated Press writer
1279. Karin Laub that the so-called virus was
1280. undone because most computer users were
1281. alerted in time. Hebrew University
1282. researchers detected the virus on Dec.
1283. 24 because of a flaw in its design,
1284. according to senior programmer Yisrael
1285. Radai.
1286.   Nonetheless, a few experts are saying
1287. that we aren't out of the woods yet.
1288.   For instance, Donn Parker of the SRI
1289. International research firm in Menlo
1290. Park, Calif., told The Washington Post
1291. this morning that he hadn't heard of any
1292. virus-related damage, "but we have been
1293. holding our breath. I think it will be a
1294. dud, but we won't know until next week,
1295. and only then if people whose computers
1296. go down talk about it."
1297.   Some software companies tackled the
1298. virus scare. AP reports that the Iris
1299. software publisher of Tel Aviv developed
1300. an anti-virus program for the Israeli
1301. computing community and sold 4,000
1302. copies before yesterday. President Ofer
1303. Ahituv estimated that 30 percent of his
1304. 6,000 customers, most of them
1305. businesses, had been infected by the
1306. Black Friday virus.
1307.   Meanwhile, some are saying the
1308. apparent fizzle of the virus is what
1309. they expected all along.
1310.   "Viruses are like the bogyman," said
1311. Byron C. Howes, a computer systems
1312. manager at the University of North
1313. Carolina at Chapel Hill. Speaking with
1314. AP, he compared programmers who believe
1315. in viruses to "people who set little
1316. bowls of milk outside our doors to feed
1317. the dwarfs."
1318.   Barry B. Cooper, owner of Commercial
1319. Software in Raleigh, N.C., agreed. "I
1320. just think that the whole thing is a
1321. joke," like the prediction by medieval
1322. seer Nostradamus of a major earthquake
1323. on May 8, 1988. "That didn't come true,
1324. and this won't come true."
1325.   --
1326.  
1327.  
1328. R.I. NEWSPAPER DISLODGES VIRUS
1329.  
1330.   (May 16)
1331.   The Providence, R.I., Journal-Bulletin
1332. says it worked for the past week and a
1333. half to stamp out a "virus" that
1334. infected an in-house personal computer
1335. network used by reporters and editors,
1336. but not before the virus destroyed one
1337. reporter's data and infected scores of
1338. floppy disks.
1339.   Writing in The Journal, Jeffrey L.
1340. Hiday said the virus was "a well-known,
1341. highly sophisticated variation called
1342. the 'brain' virus, which was created by
1343. two brothers who run a computer store in
1344. Lahore, Pakistan."
1345.   Variations of the virus, he noted,
1346. have been discovered at companies and
1347. colleges across the country, including,
1348. last week, Bowie State College in
1349. Maryland, where it destroyed five
1350. students' disks. Online Today reported
1351. on April 23 that a similar
1352. Pakistan-based virus infected a student
1353. system used at Miami University in Ohio,
1354. threatening to wipe out term papers
1355. stored there.
1356.   Apparently this is the first time a
1357. virus has invaded a US newspaper's
1358. system.
1359.   Hiday said The Journal contacted one
1360. of the Pakistan brothers by phone, who
1361. said he created this particular virus
1362. merely to keep track of software he
1363. wrote and sold, adding that he did not
1364. know how it got to the United States.
1365.   However, Hiday added, "US computer
1366. programming experts ... believe the
1367. Pakistanis developed the virus with
1368. malicious intent. The original version
1369. may be relatively harmless, they point
1370. out, but its elegance lends itself to
1371. alterations by other programmers that
1372. would make it more destructive."
1373.   The newspaper says it discovered the
1374. virus on May 6 when a message popped up
1375. on computer screens reading, "Welcome to
1376. the Dungeon. ... Beware of this VIRUS.
1377. Contact us for vaccination." The message
1378. included a 1986 copyright date, two
1379. names (Basit and Amjad), a company
1380. (Brain Computer Services), an address
1381. (730 Nizam Block Allama Iqbal in Lahore,
1382. Pakistan) and three phone numbers.
1383.   Journal-Bulletin systems engineer
1384. Peter Scheidler told Hiday, "I was sort
1385. of shocked. I never thought I'd see a
1386. virus. That's something you read about."
1387.   The virus infected only the PC
1388. network; neither the paper's Atex
1389. news-editing system nor its IBM
1390. mainframe that supports other
1391. departments were affected.
1392.   Hiday says the newspaper now is taking
1393. steps to protect itself against another
1394. virus attacks. It has tightened
1395. dissemination of new software and
1396. discussed installing "anti-virus"
1397. devices. In addition, computer users
1398. have been warned not to use "foreign"
1399. software, and reporters have been
1400. instructed to turn their computers off
1401. and then on again before inserting
1402. floppy disks.
1403.   --
1404.  
1405.  
1406. EPA MACINTOSHES RECOVER FROM VIRUS
1407.  
1408.   (May 18)
1409.   Although Apple Macintosh computers at
1410. the Environmental Protection Agency were
1411. recently plagued with a virus, all of
1412. them seem to be on the mend now.
1413.   According to Government Computer News,
1414. the computers were vaccinated with Virus
1415. Rx, a free program issued by Apple
1416. Computer Inc. to help users determine if
1417. their hard disks have been infected.
1418. Apple has begun an educational campaign
1419. to promote "safe computing practices,"
1420. Apple spokeswoman Cynthia Macon told
1421. GCN.
1422.   Virus Rx is available on CompuServe in
1423. the Apple Developers Forum (GO APPDEV)
1424. in Data Library 8 under the name
1425. VIRUS.SIT.
1426.   Macon said the best long-term response
1427. to viruses "is to make users aware of
1428. steps they can take to protect
1429. themselves." These include backing up
1430. data files, knowing the source of
1431. programs and write-protecting master
1432. disks. Other steps include booting from
1433. a floppy disk and running all programs
1434. from floppies rather than installing and
1435. running them from the hard disk.
1436.   EPA is having some trouble with
1437. reinfection. Since up to 20 people may
1438. use one Macintosh, someone may
1439. unknowingly insert a virus-plagued disk
1440. into a clean machine. "It's like mono.
1441. You just never get rid of it," said
1442. Leslie Blumenthal, a Unisys Corp.
1443. contract employee at EPA.
1444.   FBI agents in Washington, D.C. and San
1445. Jose, Calif. are investigating the
1446. spread of the Macintosh virus, notes
1447. GCN.
1448.   -- Cathryn Conroy
1449.  
1450.  
1451. CONGRESS CONSIDERS VIRUS PROBLEMS
1452.  
1453.   (May 19)
1454.   Computer viruses have come to the
1455. attention of Congress and legislators
1456. would like to be assured that US defense
1457. computers are safe from the replicating
1458. little bugs. Although defense systems
1459. can't be reached simply by telephoning
1460. them, a virus could be contracted
1461. through an infected disk containing
1462. non-essential information.
1463.   The Defense Authorization Bill for FY
1464. 1989 is likely to direct the Defense
1465. Department (DoD) to report on its
1466. methods for handling potential viral
1467. infections. Congress also wants to know
1468. what DoD has done about safeguarding
1469. military computers. They'd like some
1470. assurance that the Defense Department
1471. also has considered situations where a
1472. primary contractor's computer could be
1473. infected and subsequently endanger DoD's
1474. own computers.
1475.   Anticipating future hearings,
1476. Congressional staffers are soliciting
1477. comments from knowledgeable users as to
1478. what the report to Congress should
1479. cover. Interested parties should forward
1480. their comments to Mr. Herb Lin, House
1481. Armed Services Committee, 2120 Rayburn
1482. House Office Building, Washington DC
1483. 20515. Further information is available
1484. by calling 202/225-7740. All comments
1485. will be kept in confidence.
1486.   --
1487.  
1488.  
1489. TEXAN STANDS TRIAL FOR ALLEGEDLY
1490. INFECTING SYSTEM WITH "VIRUS"
1491.  
1492.   (May 24)
1493.   In Fort Worth, Texas, a 39-year-old
1494. programmer is to stand trial July 11 on
1495. felony charges that he intentionally
1496. infected an ex-employer's system with a
1497. computer "virus." If convicted, he faces
1498. up to 10 years in prison.
1499.   The man, Donald Gene Burleson,
1500. apparently will be the first person ever
1501. tried under the state's tougher computer
1502. sabotage law, which took effect Sept. 1,
1503. 1985.
1504.   Dan Malone of the Dallas Morning News
1505. broke the story this morning, reporting
1506. on indictments that accuse Burleson of
1507. executing programs "designed to
1508. interfere with the normal use of the
1509. computer" and of acts "that resulted in
1510. records being deleted" from the systems
1511. of USPA and IRA Co., a Fort Worth-based
1512. national securities and brokerage.
1513.   The paper quoted police as saying the
1514. electronic interference was a "massive
1515. deletion" of more than 168,000 records
1516. of sales commissions for employees of
1517. the company, where Burleson once worked
1518. as a computer security officer.
1519.   Burleson currently is free on a $3,000
1520. bonding pending the trial.
1521.   Davis McCown, chief of the Tarrant
1522. County district attorney's economic
1523. crimes division, said of the alleged
1524. virus, "You can see it, but you can't
1525. see what it does -- just like a human
1526. virus. It had the ability to multiply
1527. and move around and was designed to
1528. change its name so it wouldn't be
1529. detected."
1530.   McCown also told Malone he wanted to
1531. make sure "that this type of criminal
1532. understands that we have the ability to
1533. make these type of cases; that it's not
1534. so sophisticated or complicated that
1535. it's above the law."
1536.   Company officials first noticed a
1537. problem on Sept. 21, 1985. Says the
1538. Dallas newspaper, "Further investigation
1539. revealed that an intruder had entered
1540. the building at night and used a
1541. 'back-door password' to gain access to
1542. the computer. ... Once inside, the
1543. saboteur covered his tracks by erasing
1544. computer logs that would have followed
1545. his activity, police said. With his
1546. access to the computer complete, the
1547. intruder manually deleted the records."
1548.   Authorities say that only a few of the
1549. 200 workers in the USPA home office --
1550. including Burleson -- had access and the
1551. knowledge needed to sabotage the system.
1552.   Earlier USPA was awarded $12,000 by a
1553. jury in a civil lawsuit filed against
1554. Burleson.
1555.   --
1556.  
1557.  
1558. FBI CALLED TO PROBE VIRUS CASE
1559.  
1560.   (July 4)
1561.   The FBI has been called in by NASA
1562. officials to investigate an alleged
1563. computer virus that has destroyed data
1564. on its personal computers and those of
1565. several other government agencies.
1566.   The New York Times reported this
1567. morning that the rogue program --
1568. apparently the so- called "Scores" virus
1569. that surfaced last April -- was designed
1570. to sabotage data at Dallas' Electronic
1571. Data Systems. The paper said the virus
1572. did little damage to the Texas company
1573. but did wreak havoc on thousands of PCs
1574. nationwide.
1575.   The Times quoted NASA officials as
1576. saying the FBI was called in because,
1577. even though damage to government data
1578. was limited, files were destroyed,
1579. projects delayed and hundreds of hours
1580. were spent tracking the culprit at
1581. various government agencies, including
1582. NASA, the Environmental Protection
1583. Agency, the National Oceanic and
1584. Atmospheric Administration and the US
1585. Sentencing Commission.
1586.   NASA says it doesn't know how the
1587. program, which damaged files from
1588. January to May, spread from the Texas
1589. EDS firm to PC networks nor whether the
1590. virus was deliberately or accidentally
1591. introduced at government agencies.
1592.   Meanwhile, the Times quoted experts as
1593. saying that at least 40 so-called
1594. "viruses" now have been identified in
1595. the United States, defining a virus as a
1596. program that conceals its presence on a
1597. disk and replicates itself repeatedly
1598. onto other disks and into the memory of
1599. computers.
1600.   As reported here in April, the Scores
1601. virus was blamed for infecting hundreds
1602. of Apple Macintosh computers at NASA and
1603. other facilities in Washington, Maryland
1604. and Florida.
1605.   The Times says the spread of the virus
1606. was exacerbated when private contractors
1607. in Washington and North Carolina
1608. inadvertently sold dozens of computers
1609. carrying the virus to government
1610. agencies. The virus spread for as long
1611. as two months and infected networks of
1612. personal computers before it was
1613. discovered.
1614.   --
1615.  
1616.  
1617.  
1618. NEW MEXICO BBS SUES OVER VIRUS
1619.  
1620.   (Aug. 17)
1621.   The operator of a New Mexico computer
1622. bulletin board system has filed what may
1623. be the first federal suit against a
1624. person accused of uploading a computer
1625. "virus."
1626.   William A. Christison, sysop of the
1627. Santa Fe Message BBS, alleges in his
1628. suit that a man named Michael Dagg
1629. visited his board in the early hours of
1630. last May 4 and "knowingly and
1631. intentionally" uploaded a
1632. digitally-infected file called
1633. "BBSMON.COM."
1634.   The suit says Christison "checked the
1635. program before releasing it to the
1636. public and discovered that it was a
1637. 'Trojan Horse'; i.e., it appeared to be
1638. a normal program but it contained hidden
1639. commands which caused the program to
1640. vandalize Plaintiff's system, erasing
1641. the operating system and damaging the
1642. file allocation tables, making the files
1643. and programs stored in the computer
1644. unusable."
1645.   Christison says that the defendant
1646. re-visited the BBS nine times between
1647. May 5 and May 12, sometimes logging in
1648. under a pseudonym. "Several of these
1649. times," the suit says, "he sent in
1650. messages and on May 7, 1988, he
1651. knowingly and intentionally sent in by
1652. modem a program of the same name,
1653. BBSMON.COM, as the original 'Trojan
1654. Horse' computer program."
1655.   Through attorney Ann Yalman,
1656. Christison asks the court to grant
1657. $1,000 for each Trojan Horse violation
1658. and to enjoin the defendant "from
1659. sending 'Trojan Horses' or 'viruses' or
1660. other vandalizing programs to Plaintiff
1661. or anyone else."
1662.   A copy of the Santa Fe Message's suit
1663. has been uploaded to CompuServe's IBM
1664. Communications Forum. To see it, visit
1665. the forum by entering GO IBMCOM at any
1666. prompt. The ASCII file is VIRUS.CHG in
1667. forum library 0.
1668.   Also, you can reach Christison BBS
1669. directly with a modem call to
1670. 505/988-5867.
1671.   --
1672.  
1673.  
1674.  
1675. VIRUS FIGHTERS FIGHT EACH OTHER
1676.  
1677.   (Aug. 31)
1678.   Two groups that mean to protect us in
1679. the fight against so-called computer
1680. "viruses" seem to be spending rather a
1681. lot of their energies fighting each
1682. other.
1683.   "I personally know most of the people
1684. in this industry and I have never seen
1685. this kind of animosity," Brian Camenker
1686. of the Boston Computer Society tells
1687. business writer Peter Coy.
1688.   The bickering grew louder on Monday in
1689. page-one article in MIS Week trade
1690. newspaper in which each side accused the
1691. other of using sloppy techniques and
1692. manipulating the testing process for its
1693. own purposes.
1694.   Says Coy, "The intensity of the debate
1695. has left some software developers
1696. disgusted with the whole business."
1697.   The argument, which centers around
1698. fair evaluation anti-virus "vaccine"
1699. software, pits the 2- month-old Computer
1700. Virus Industry Association led by John
1701. McAfee, president of InterPath Corp. of
1702. Santa Clara, Calif., against what Coy
1703. terms "a loose collection of other
1704. computer experts" led by consultant Jon
1705. R. David of Tappan and editor Harold
1706. Highland of Computers & Security
1707. magazine.
1708.   "Customers and producers agree on the
1709. need for an independent panel of experts
1710. to review the (vaccine) software," Coy
1711. comments. "The question splitting the
1712. industry is who should be in charge."
1713.   CVIA is pulling together an
1714. independent university testing panel
1715. made up of representatives of Pace
1716. University, Adelphi University and Sarah
1717. Lawrence College and headed by John
1718. Cordani, who teaches computer science at
1719. Adelphi and Pace. However, David and
1720. Highland say these people don't have the
1721. necessary credentials and that McAfee's
1722. InterPath products will have an
1723. advantage in the testing because McAfee
1724. invented a virus simulator that will be
1725. used as a testing mechanism.
1726.   Meanwhile, Highland says he's getting
1727. funding from his publisher, Elsevier
1728. Advanced Technology Publications, for
1729. his own review of anti-viral software,
1730. but adds he isn't interested in
1731. operating an ongoing review board.
1732.   --
1733.  
1734.  
1735.  
1736. VIRUS TRIAL BEGINS IN FORT WORTH
1737.  
1738.     (Sept. 7)
1739.   A 40-year-old Texas programmer has
1740. gone on trial this week, accused of
1741. using a "virus" to sabotage thousands of
1742. computer records at his former
1743. employer's business.
1744.   If convicted in what is believed to be
1745. the nation's first virus-related
1746. criminal trial, Donald G. Burleson faces
1747. up to 10 years in jail and a $5,000
1748. fine.
1749.   Reporting from the state criminal
1750. district court in Fort Worth, Texas, The
1751. Associated Press notes Burleson was
1752. indicted on charges of burglary and
1753. harmful access to a computer in
1754. connection with damage to data at USPA &
1755. IRA Co. securities firm two days after
1756. he was fired. The trial is expected to
1757. last about two weeks.
1758.   USPA, which earlier was awarded
1759. $12,000 in a civil suit against
1760. Burleson, alleges the defendant went
1761. into its offices one night and planted a
1762. virus in its computer records that, says
1763. AP, "would wipe out sales commissions
1764. records every month. The virus was
1765. discovered two days later, after it had
1766. eliminated 168,000 records."
1767.   --
1768.  
1769.  
1770. VIRUS ATTACKS JAPANESE NETWORK
1771.  
1772.     (Sept. 14)
1773.   Japan's largest computer network --
1774. NEC Corp.'s 45,000- subscriber PC-VAN
1775. service -- has been infected by a
1776. computer "virus."
1777.   McGraw-Hill News quotes a NEC
1778. spokesman as saying that over the past
1779. two weeks 13 different PC- VAN users
1780. have reported virus incidents.
1781.   Subscribers' user IDs and passwords
1782. "were apparently stolen by the virus
1783. planter when the members accessed one of
1784. the service's electronic bulletin
1785. boards," MH says. "The intruder then
1786. used the information to access other
1787. services of the system and charged the
1788. access fees to the password holders."
1789.   NEC, which says it has not yet been
1790. able to identify the virus planter, gave
1791. the 13 subscribers new user IDs and
1792. passwords to check the proliferation of
1793. the virus.
1794.   --
1795.  
1796.  
1797. JURY CONVICTS PROGRAMMER OF VIRUS
1798.  
1799.     (Sept. 20)
1800.   After deliberating six hours, a Fort
1801. Worth, Texas, jury late yesterday
1802. convicted a 40-year-old programmer of
1803. planting a "virus" to wipe out 168,000
1804. computer records in revenge for being
1805. fired by an insurance firm.
1806.   Donald Gene Burleson is believed to be
1807. the first person convicted under Texas's
1808. 3-year-old computer sabotage law. The
1809. trial, which started Sept. 6, also was
1810. among the first of its kind in the
1811. nation, Judge John Bradshaw told the
1812. Tarrant County jury after receiving its
1813. verdict.
1814.   The Associated Press says jurors now
1815. are to return to State District Court to
1816. determine the sentence.
1817.   Burleson, an Irving, Texas, resident,
1818. was found guilty of harmful access to a
1819. computer, a third-degree felony with a
1820. maximum penalty of 10 years in prison
1821. and a $5,000 fine. However, as a
1822. first-time offender, Burleson also is
1823. eligible for probation.
1824.   As reported here earlier, Burleson was
1825. alleged to have planted a rogue program
1826. in computers used to store records at
1827. USPA and IRA Co., a Fort Worth insurance
1828. and brokerage firm.
1829.   During the trial, prosecutor Davis
1830. McCown told the jury the virus was
1831. programmed like a time bomb and was
1832. activated Sept. 21, 1985, two days after
1833. Burleson was fired as a programmer at
1834. the firm because of alleged personality
1835. conflicts with other employees.
1836.   AP quoted McCown as saying, "There
1837. were a series of programs built into the
1838. system as early as Labor Day (1985).
1839. Once he got fired, those programs went
1840. off."
1841.   McCown added the virus was discovered
1842. two days later after it had eliminated
1843. 168,000 payroll records, holding up
1844. paychecks to employees for more than a
1845. month.
1846.   Expert witnesses also testified in the
1847. three-week trial that the virus was
1848. entered in the system via Burleson's
1849. terminal by someone who used Burleson's
1850. personal access code.
1851.   However, the defense said Burleson was
1852. set up by someone else using his
1853. terminal and code. Says AP, "Burleson's
1854. attorneys attempted to prove he was
1855. vacationing in another part of the state
1856. with his son on the dates in early
1857. September when the rogue programs were
1858. entered into the system. But prosecutors
1859. presented records showing that Burleson
1860. was at work and his son was attending
1861. school on those dates."
1862.   The Fort Worth Star-Telegram reports
1863. that also during the trial, Duane
1864. Benson, a USPA & IRA senior programmer
1865. analyst, testified the automated virus
1866. series, which was designed to repeat
1867. itself periodically until it destroyed
1868. all the records in the system, never was
1869. automatically activated. Instead, Benson
1870. said, someone manually set one of the
1871. programs in motion Sept. 21, 1985,
1872. deleting the records, then covering his
1873. or her tracks by deleting the program.
1874.   Prosecutor McCown says data damage in
1875. the system could have amounted to
1876. hundreds of thousands of dollars had the
1877. virus continued undetected.
1878.   As reported here earlier, Burleson
1879. also has lost a civil case to USPA in
1880. connection with the incident. That jury
1881. ordered him to pay his former employers
1882. $12,000.
1883.   Following the yesterday's verdict,
1884. McCown told Star-Telegram reporter
1885. Martha Deller, "This proves (virus
1886. damage) is not an unprosecutable
1887. offense. It may be hard to put a case
1888. together, but it's not impossible."
1889.   --
1890.  
1891.  
1892. UNIVERSITY PROFESSORS ATTACK COMPUTER
1893. VIRUSES
1894.  
1895.   (Sept. 30)
1896.   Because they have not been given
1897. access to the National Security Agency's
1898. anti-virus research, several university-
1899. based computer experts are planning to
1900. begin their own testing and validating
1901. of software defenses against computer
1902. viruses, reports Government Computer
1903. News.
1904.   Led by John Cordani, assistant
1905. professor of information systems at
1906. Adelphi University, the results will be
1907. made public, unlike those being
1908. researched by NSA. The work being done
1909. by the Department of Defense is too
1910. classified for use by the general
1911. computer community.
1912.   GCN notes that computer viruses are
1913. hard-to-detect programs that secretly
1914. replicate themselves in computer
1915. systems, sometimes causing major damage.
1916.   Cordani and five other academics will
1917. establish secure laboratories to study
1918. viruses in three New York colleges:
1919. Adelphi University, Pace University and
1920. Sarah Lawrence College. The lab will
1921. test anti-virus software developed by
1922. companies that are members of the
1923. Computer Virus Industry Association, a
1924. consortium of anti-virus defense
1925. developers.
1926.   The group will then publish what it is
1927. calling "consumer reports" in the media
1928. and on electronic bulletin board
1929. systems. Once sufficient research is
1930. completed, more general grading systems
1931. will be applied, said Cordani. In
1932. addition, the lab will use viruses sent
1933. to them by the CVIA to develop
1934. classification algorithms to aid in
1935. describing a virus' actions and effects.
1936.   -- Cathryn Conroy
1937.  
1938.  
1939.  
1940. SECOND VIRUS FOUND AT ALDUS CORP.
1941.  
1942.   (Oct. 21)
1943.   For the second time this year, a
1944. computer "virus" has been found in a
1945. commercial program produced by Seattle's
1946. Aldus Corp. The infection was found in
1947. the latest version of the FreeHand
1948. drawing software, the same software that
1949. was invaded by a different virus last
1950. March.
1951.   An Aldus official told The Associated
1952. Press the company was able to prevent
1953. the virus's spread to programs for sale
1954. to the public, but that an entire
1955. computer network within Aldus'
1956. headquarters has been infected.
1957.   The virus was found in a version of
1958. the Apple Macintosh software that was
1959. sent to specific users to be tested
1960. before going to market. One of the
1961. testers discovered the virus, dubbed
1962. "nVir," and two days later, Aldus
1963. realized the virus was in its own
1964. in-house network.
1965.   Said Aldus spokeswoman Jane Dauber,
1966. "We don't know where it came from. That
1967. is the nature of the virus. You can't
1968. really track it."
1969.   AP says Aldus officials said the new
1970. virus has remained dormant so far, a
1971. tiny program that merely attaches itself
1972. to other programs.
1973.   "We don't know why," Dauber said. "We
1974. don't know what invokes this virus. With
1975. some of them, you have to launch the
1976. program a certain number of times," for
1977. the virus to activate.
1978.   The company told the wire service
1979. that, while it does not know where the
1980. virus originated, reports are that it
1981. apparently has infected at least one
1982. unidentified East Coast university's
1983. computers.
1984.   Another Aldus spokeswoman, Laury
1985. Bryant, added, "You just can't always
1986. stop these things from coming in the
1987. door. But what we have done is to set up
1988. systems which eliminate them before they
1989. are actually in full version,
1990. shrink-wrap software and stop them from
1991. going out the door."
1992.   Last March, in what was apparently the
1993. first instance of an infection in
1994. commercial software, a virus called the
1995. "March 2 peace message" was found in
1996. some FreeHand programs. The invasion
1997. caused Aldus to recall or rework
1998. thousands of packages of the new
1999. software.
2000.   --
2001.  
2002.  
2003.  
2004. MAN SENTENCED IN NATION'S FIRST
2005. VIRUS-RELATED CRIMINAL COURT CASE
2006.  
2007.     (Oct. 23)
2008.   Donald Gene Burleson, the first person
2009. ever convicted of using a computer
2010. "virus" to sabotage data, has been
2011. sentenced to seven years' probation and
2012. ordered to pay back nearly $12,000 to
2013. his former employer.
2014.   The 40-year-old Irving, Texas, man's
2015. attorney told United Press International
2016. he will appeal the sentenced handed down
2017. late Friday by District Judge John
2018. Bradshaw in Fort Worth, Texas.
2019.   As reported earlier, Burleson was
2020. convicted Sept. 19 of the third-degree
2021. felony, the first conviction under the
2022. new Texas state computer sabotage law.
2023. He was accused of infecting the
2024. computers of USPA & IRA, a Fort Worth
2025. insurance and securities firm a few days
2026. after his firing Sept. 18, 1985.
2027.   Burleson could have received two to 10
2028. years in prison and a fine up to $5,000
2029. under the 1985 law. As a first-time
2030. offender, however, he was eligible for
2031. probation.
2032.   As reported during last month's trial,
2033. a few days after Burleson's firing in
2034. 1985, company officials discovered that
2035. 168,000 records of sales commissions had
2036. been deleted from their system.
2037.   Burleson testified that he was more
2038. than 300 miles away from Fort Worth on
2039. Sept. 2 and Sept. 3 when the virus was
2040. created. However, UPI notes that
2041. evidence showed that his son was not
2042. traveling with him as he said but in
2043. school, and that a credit card receipt
2044. Burleson said proved he was in Rusk on
2045. Sept. 3 turned out to be from 1987.
2046.   Associated Press writer Mark Godich
2047. quoted Burleson's lawyer, Jack Beech, as
2048. saying he had asked for five years'
2049. probation for his client, and
2050. restitution not to exceed $2,500.
2051.   Godich also observed that the
2052. Burleson's conviction and sentencing
2053. "could pave the way for similar
2054. prosecutions of people who use viruses."
2055.   Chairman John McAfee of the Computer
2056. Virus Industry Association in Santa,
2057. Clara, Calif., told AP the Texas case
2058. was precedent-setting and that it's rare
2059. that people who spread computer viruses
2060. are caught. He added his organization
2061. had documented about 250,000 cases of
2062. sabotage by computer virus.
2063.   --
2064.  
2065.  
2066. BRAIN VIRUS HITS HONG KONG
2067.  
2068.   (Oct. 30)
2069.   According to Computing Australia, a
2070. major financial operation in Hong Kong
2071. was infected with a version of the
2072. "Brain" virus.  This is the first
2073. reported infection of a commercial
2074. business in the East.
2075.   Business International, a major
2076. financial consulting firm in Hong Kong,
2077. is believed not to have suffered any
2078. major damage. A company spokeswoman
2079. played down the appearance of the virus
2080. and said that no data had been lost.
2081.   The "brain" virus has been reported as
2082. a highly sophisticated piece of
2083. programming that was created by two men
2084. in Lahore, Pakistan who run the Brain
2085. Computer Services company.  It's last
2086. reported appearance in the US was during
2087. May when it popped up at the Providence,
2088. R.I., Journal- Bulletin newspaper.
2089.   --
2090.  
2091.  
2092. 60 COMPUTER FIRMS SET VIRUS GOALS
2093.  
2094.   (Nov. 2)
2095.   Some 60 computer companies have
2096. organized a group to set guidelines that
2097. they say should increase reliability of
2098. computers and protect the systems from
2099. so-called "viruses."
2100.   The Reuter Financial News Service says
2101. that among firms taking part in the
2102. movement are Microsoft Corp., 3Com Inc.,
2103. Banyan Systems and Novell Inc. At the
2104. same time, though, declining to join the
2105. efforts are such big guys as IBM and
2106. Digital Equipment Corp.
2107.   Reuter reports, "The companies said
2108. the measures would promote competition
2109. while allowing them to cooperate in
2110. making computers more reliable and less
2111. vulnerable to viruses."
2112.   However, the firms apparently have
2113. shied away from specific proposals,
2114. instead issuing broad recommendations
2115. that leave it up to each company to
2116. develop the technology needed to prevent
2117. the spread of viruses, Reuter said.
2118.   --
2119.  
2120.  
2121.  
2122. Last page !m
2123.  
2124. Online Today            OLT-2039
2125.  
2126. COMPUTER VIRUS EPIDEMIC
2127.  
2128.  1 Backgrounder, Part I
2129.  2 Backgrounder, Part II
2130.  3 Backgrounder, Part III
2131.  4 Backgrounder, Part IV
2132.  5 Backgrounder, Part V
2133.  6 Backgrounder, Part VI
2134.  
2135. Enter choice !3
2136.  
2137. Online Today            OLT-1005
2138.  
2139. ONLINE TODAY'S BACKGROUNDER: COMPUTER
2140. "VIRUS," PART THREE
2141.  
2142.   (Editor's note: Computer "viruses" --
2143. self-propagating programs that spread
2144. from one machine to another and from one
2145. disk to another -- have been very much
2146. in the news. This file contains
2147. virus-related stories carried by Online
2148. Today's electronic edition beginning in
2149. November 1988.)
2150.  
2151.  
2152. Press <CR> for more !s
2153.  
2154.  
2155. NEW LAN LABORATORY GROUP OFFERS
2156. SUGGESTIONS FOR VIRUS PREVENTION
2157.  
2158.   (Nov. 7)
2159.   Just a week or so before thousands of
2160. networked computers across the country
2161. were struck by a rapid virus, some 60
2162. computer companies endorsed a set of
2163. virus-prevention guidelines drafted by
2164. the National LAN Laboratory.
2165.   The Reston, Va., group, devoted to
2166. local area networks, hopes its tips can
2167. prevent and control future viruses and
2168. worm program intrusions.
2169.   Speaking with business writer Peter
2170. Coy of The Associated Press, LAN Lab
2171. spokesman Delbert Jones said, "The key
2172. issue is that with proper precautions,
2173. one can continue to live a normal
2174. existence. ... "It's very much like the
2175. AIDS virus: The best solution is
2176. precaution."
2177.   Here, according to AP, are the
2178. suggestions by the LAN Lab group:
2179.   1. All software should be purchased
2180. from known, reputable sources.
2181.   2. Purchased software should be in its
2182. original shrink wrap or sealed disk
2183. containers when received.
2184.   3. Back-up copies should be made as
2185. soon as the software package is opened.
2186. Back-ups should be stored off-site.
2187.   4. All software should be reviewed
2188. carefully by a system manager before it
2189. is installed on a network.
2190.   6. New software should be quarantined
2191. on an isolated computer. This testing
2192. will greatly reduce the risk of system
2193. virus contamination.
2194.   7. A back-up of all system software
2195. and data should be made at least once a
2196. month, with the back-up copy stored for
2197. at least one year before re-use. This
2198. will allow restoration of a system that
2199. has been contaminated by a
2200. "time-released" virus. A plan that
2201. includes "grandfathered" rotation of
2202. back-up copies will reduce risk even
2203. further.
2204.   8. System administrators should
2205. restrict access to system programs and
2206. data on a "need-to-use" basis. This
2207. isolates problems, protects critical
2208. applications, and aids problem
2209. diagnosis.
2210.   9. All programs on a system should be
2211. checked regularly for program length
2212. changes. Any program-length deviations
2213. could be evidence of tampering, or virus
2214. infiltration.
2215.   10. Many shared or free programs are
2216. invaluable. However, these are the prime
2217. entry point for viruses. Skeptical
2218. review of such programs is prudent.
2219. Also, extended quarantine is essential
2220. before these programs are introduced to
2221. a computer system.
2222.   11. Any software that exhibits
2223. symptoms of possible virus contamination
2224. should be removed immediately. System
2225. managers should develop plans for quick
2226. removal of all copies of a suspect
2227. program, and immediate backup of all
2228. related data. These plans should be made
2229. known to all users, and tested and
2230. reviewed periodically.
2231.   --
2232.  
2233.  
2234.  
2235. "BRAIN VIRUS" APPEARS IN HOUSTON
2236.  
2237.   (Nov. 9)
2238.   A version of the so-called "Brain
2239. virus," a rogue program believed to have
2240. originated in Pakistan, now has cropped
2241. up in computers used by University of
2242. Houston business students. Texas
2243. officials say that the virus, while a
2244. nuisance, has posed no real problem.
2245.   University research director Michael
2246. Walters told The Associated Press, "It
2247. probably hasn't cost us much, except a
2248. few days of people-time to clean up
2249. these disks, but it probably cost the
2250. students a good bit of frustration."
2251.   Some students report they have lost
2252. data, but Walters told the wire service
2253. he knows of no one who has lost an
2254. entire term paper or other large
2255. quantity of work. Nonetheless, reports
2256. still were coming in from students late
2257. yesterday.
2258.   This version of the Brain virus, which
2259. last spring was traced to a computer
2260. store in Lahore, Pakistan, announced
2261. itself at the university early last week
2262. on the screen of one of the 150 PCs the
2263. business department has for students and
2264. faculty. Walters said the virus hasn't
2265. spread to the school's larger computers.
2266.   AP quotes Walters as saying the virus
2267. flashed this message (with these
2268. misspellings) to students who tried to
2269. use infected programs:
2270.   "Welcome to the dungeon. Copyright
2271. 1968 Brain & Amjads, PVT, LTD. Virus
2272. shoe record V9.0. Dedicated to the
2273. dynamic memory of millions of virus who
2274. are no longer with us today -- Thank
2275. Goodness. BEWARE OF THE VIRUS. This
2276. program is catching. Program follows
2277. after these messeges."
2278.   The original "Brain" virus -- which
2279. appeared in May at colleges and
2280. businesses along the East Coast and in
2281. the computers of The Providence, R.I.,
2282. Journal-Bulletin newspaper -- flashed
2283. the "Welcome to the Dungeon" message,
2284. but added "Contact us for vaccination."
2285. It also gave names, an address and a
2286. phone number of two brothers who run a
2287. Lahore, Pakistan, computer store.
2288.   Walters said the Houston version of
2289. the virus says nothing about any
2290. vaccine, and the "V9.0" in its message
2291. suggests it may be a modified version.
2292.   Before this, the most recent sighting
2293. of the "Brain" virus was at Business
2294. International, a Hong Kong financial
2295. operation. It was thought to be the
2296. first reported digital infection of a
2297. commercial business in the East. The
2298. firm is believed not to have suffered
2299. any major damage.
2300.   --
2301.  
2302.  
2303.  
2304. UNIX EXPERT SAYS VIRUS "PANIC"
2305. UNNECESSARY, BLAMES BAD PLANNING
2306.  
2307.   (Nov. 10)
2308.   An expert on the Unix operating system
2309. says that much of last week's "panic"
2310. over the virus that brought down some
2311. 6,000 networked computers was caused by
2312. poor management technique.
2313.   In a statement from his Rescue,
2314. Calif., offices, newsletter editor Bruce
2315. Hunter said, "Most of the damage was
2316. done by the organizations themselves,
2317. not the virus."
2318.   Hunter, who edits Root, a bimonthly
2319. Unix administration and management
2320. journal published by InfoPro Systems,
2321. observed that more than 50,000 users
2322. were reportedly cut off at a single site
2323. due to last week's virus, and that more
2324. than a million people are believed to
2325. have been directly affected.
2326.   However, Hunter said, "By dropping
2327. network connections, administrators were
2328. ensuring that the virus was winning.
2329. Good communications and information
2330. sharing between administrators is what
2331. helped people on the network find and
2332. implement a solution to the virus
2333. quickly."
2334.   Hunter, who also is an author and
2335. mainframe Unix system manager, said that
2336. one job of an administrator is to keep
2337. all system resources available to users,
2338. and another is to "go around searching
2339. for possible trouble."
2340.   He said the most important lesson
2341. learned from last week's virus was that
2342. a definite plan is imperative to avoid
2343. inappropriate reactions.
2344.   Hunter made these suggestions to
2345. managers:
2346.   -:- Develop a set of scenarios and
2347. responses for future virus attacks as
2348. well as physical disasters.
2349.   -:- Keep a printed list of system
2350. administrators at all company sites.
2351.   -:- Establish a central point of
2352. information.
2353.   -:- Coordinate an emergency response
2354. task force of key personnel.
2355.   -:- Keep current off-site backups of
2356. all data.
2357.   -:- Perform regular security audits.
2358.   --
2359.  
2360.  
2361.  
2362. MICHIGAN WEIGHS ANTI-VIRUS LAW
2363.  
2364.   (Nov. 15)
2365.   Michigan lawmakers soon will consider
2366. a proposed state law that would impose
2367. felony penalties against anyone
2368. convicted of creating or spreading
2369. computer "viruses."
2370.   Sponsoring the bill, Republican Sen.
2371. Vern Ehlers told United Press
2372. International, "Because this is a new
2373. type of crime, it is essential we
2374. address it directly with a law that
2375. deals with the unique nature of
2376. computers."
2377.   Citing this month's virus attack on
2378. military and research computers linked
2379. by ARPANET and other networks, Ehlers
2380. added, "The country recently saw how
2381. quickly a virus can spread through
2382. network users. The Defense Department
2383. and its contractors were extremely
2384. fortunate that the virus was relatively
2385. harmless."
2386.   The senator said his bill, still being
2387. drafted, is expected to include
2388. provisions making it a felony for anyone
2389. to deliberately introduce a virus into a
2390. computer system.
2391.   UPI notes Ehlers is a physicist with a
2392. Ph.D who has 30 years' experience with
2393. computers.
2394.   --
2395.  
2396.  
2397.  
2398. VIRUS STRIKES CALIF. MACINTOSHES
2399.  
2400.   (Nov. 15)
2401.   Students at Southern California
2402. universities were being warned today of
2403. a rapidly spreading West German virus
2404. that reportedly is disrupting functions
2405. of Apple Macintosh computers.
2406.   "In general, this thing is spreading
2407. like mad," Chris Sales, computer center
2408. consultant at California State
2409. University at Northridge, told The
2410. Associated Press. "It originated in West
2411. Germany, found its way to UCLA and in a
2412. short time infected us here."
2413.   AP quotes school officials as saying
2414. that at least a dozen Macs at the
2415. suburban San Fernando Valley campus have
2416. been infected since the virus first
2417. cropped up last week. Cal State says the
2418. virus apparently does not erase data,
2419. but that it does stall the computers and
2420. removal requires hours of reprogramming.
2421.   The wire service said students' disks
2422. are "being tested for the virus" before
2423. they can rent a Mac at the university
2424. bookstore.
2425.   --
2426.  
2427.  
2428.  
2429. COMPUTER SECURITY EXPERT OFFERS TIPS
2430.  
2431.   (Nov. 15)
2432.   The need to protect against computer
2433. viruses has heralded the end of the
2434. user-friendly computer era, says one
2435. security expert.
2436.   According to Government Computer News,
2437. Sanford Sherizen, president of Data
2438. Security Systems Inc. of Natick, Mass.
2439. said the objective now is to make
2440. software bullet-proof, not accessible.
2441.   He said that since the advent of
2442. computers in offices, managers have been
2443. faced with the conflicting needs of
2444. protecting the data versus producing it.
2445. Data must be accessible to those who
2446. need it and yet at the same time secure
2447. from those who can alter, delete,
2448. destroy, disclose or steal it or steal
2449. computer hardware.
2450.   Sherizen told GCN reporter Richard A.
2451. Danca that non- technical managers can
2452. contribute to computer security as
2453. advocates and facilitators. Users must
2454. learn that security is a part of their
2455. jobs.
2456.   He predicted that security managers
2457. will soon use biometric security
2458. measures such as comparing retinal blood
2459. vessels or fingerprints. Needless to
2460. say, such techniques raise complicated
2461. issues of civil liberties and privacy.
2462.   Sherizen said that all information
2463. deserves protection.
2464.   --Cathryn Conroy
2465.  
2466.  
2467.  
2468. VIRUS THREAT SAID EXAGGERATED
2469.  
2470.   (Nov. 16)
2471.   Because of the latest reports of
2472. attacks by computer "viruses," some in
2473. the industry are ready to blame such
2474. rogue programs for anything that goes
2475. wrong.
2476.   However, expert Charles Wood told a
2477. 15th annual computer security conference
2478. in Miami Beach, Fla., this week, "Out of
2479. over 1,400 complaints to the Software
2480. Service Bureau this year, in only 2
2481. percent of the cases was an electronic
2482. virus the cause of the problem. People
2483. are jumping to the conclusion that
2484. whenever a system slows down, it's a
2485. virus that's responsible."
2486.   The Associated Press reports that Wood
2487. and other panelists cautioned that
2488. computer-dependent companies should
2489. focus more on the day-to-day breakdowns
2490. caused by human error than on viruses.
2491.   President Steve Irwin of LeeMah
2492. Datacom Security Corp. told the
2493. conference that this month's virus
2494. assault on networked computers on the
2495. ARPANET system "could be a cheap
2496. lesson."
2497.   Said Irwin, "We were lucky because it
2498. was not a real malicious attempt ... If
2499. (the virus' author) had ordered the
2500. programs to be erased, the loss could
2501. have gone into billions, lots of
2502. zeroes."
2503.   AP quoted Wood as adding, "The virus
2504. is the hot topic right now, but actually
2505. the real important subject is disaster
2506. recovery planning. But that's not as
2507. glamorous as the viruses."
2508.   --
2509.  
2510.  
2511.  
2512. SPA FORMS GROUP TO KNOCK DOWN RUMORS
2513. ABOUT COMPUTER VIRUSES
2514.  
2515.   (Nov. 17)
2516.   Upset over wild rumors about the
2517. destructiveness of computer viruses, the
2518. Software Publisher Association has
2519. formed a special interest group to
2520. address computer security.
2521.   In a statement released today at the
2522. Comdex trade show in Las Vegas, SPA says
2523. its new Software Security SIG will help
2524. distribute information and serve as
2525. liaison for software publishers,
2526. industry analysts and consultants.
2527.   McGraw-Hill News quotes SPA member
2528. Ross Greenberg, president of Software
2529. Concepts Design, as saying, "Recent
2530. unsubstantiated statements regarding the
2531. actual damage caused by viruses...has
2532. caused more of a public fervor than
2533. served as a public service."
2534.   At the SIG's organizational meeting,
2535. several companies discussed setting
2536. standards on how to educate the public
2537. regarding viruses and various anti-viral
2538. products now being advertised.
2539.   --
2540.  
2541.  
2542.  
2543. FEDERAL COMPUTERS AT RISK
2544.  
2545.   (Nov. 22)
2546.   Many federal computer systems are
2547. vulnerable to viruses and other security
2548. problems because of inadequate controls
2549. on the design and operation, reports The
2550. Washington Post of a report issued by
2551. the General Accounting Office.
2552.   GAO warned that the planned computer
2553. expansion (some $17 billion will be
2554. spent by Uncle Sam in 1989) could only
2555. increase security risks since the
2556. computer growth will be so rapid. It
2557. advised that particular attention be
2558. paid to security concerns, especially in
2559. the early phases of system development.
2560.   "Recent instances of security breaches
2561. in automated information systems have
2562. resulted in the loss of assets,
2563. compromise of program objectives and
2564. leaks of sensitive information," said
2565. the report, which is part of series
2566. prepared by GAO for the incoming Bush
2567. administration on national problems it
2568. views as critical.
2569.   The Post notes that some computer
2570. experts said that the government's
2571. security woes are no worse than those
2572. that affect corporate or university
2573. systems.
2574.   GAO cited specific cases where
2575. government computer security had been
2576. breached:
2577.   -:-A clerk used a computer processing
2578. system to embezzle more than $800,000;
2579.   -:-employees prepared fraudulent
2580. documents for a tax processing system
2581. and had the refunds sent to themselves
2582. and others;
2583.   -:-about 30 employees obtained illicit
2584. access to computer files and made
2585. unauthorized disclosures of highly
2586. sensitive information;
2587.   -:-several federal agencies have been
2588. the victims of computer viruses that
2589. have destroyed software and data.
2590.   -- Cathryn Conroy
2591.  
2592.  
2593. VIRUS THREAT ANALYZED BY EXPERTS
2594.  
2595.   (Nov. 23)
2596.   The Computer Virus Industry
2597. Association reports there have been 300
2598. recorded "events" of computer virus
2599. attacks on some 48,000 computers during
2600. the past eight months.
2601.   John McAfee, chairman of the
2602. association, told The Washington Post
2603. that 97 percent of those incidents
2604. involved personal computers.  He says he
2605. considers them to be more vulnerable
2606. than larger systems because people
2607. frequently stick their disks into other
2608. people's computers to share data or
2609. software or just to use another's
2610. printer.
2611.   Sharing data is not considered a risky
2612. proposition; sharing software is another
2613. matter, since viruses attach themselves
2614. to programs.  And once infected, that
2615. program can spread the virus to other
2616. programs and computers.
2617.   McAfee told The Post his group has
2618. counted some 30 strains of viruses that
2619. affect PCs, some of which are quite
2620. innocuous while others have potentially
2621. disastrous consequences. Some viruses
2622. act immediately; others sit like time
2623. bombs waiting to go off at a set time.
2624.   But the experts warn users to not
2625. become hysterical over the threat of
2626. viruses.  Peter Norton, author of the
2627. popular Norton Utility programs, likens
2628. viruses to "urban myths, like alligators
2629. in the New York sewers."
2630.   The CVIA says that just four percent
2631. of the cases reported to it have
2632. actually be verified as real viruses.
2633. Most are software bugs, system errors or
2634. similar problems, notes The Post.
2635.   -- Cathryn Conroy
2636.  
2637.  
2638. FBI PROBES INTERNET INTRUSION
2639.  
2640.   (Nov. 24)
2641.   Although the so-called virus "attack"
2642. that affected a number of national
2643. computer networks has been characterized
2644. as unintentional, the Federal Bureau of
2645. Investigation is apparently gathering
2646. information to support criminal
2647. sanctions against the virus' developer.
2648. The FBI's authority to pursue such an
2649. investigation stems from the Computer
2650. Fraud and Abuse Act of 1986 --
2651. legislation that criminalizes
2652. unauthorized access to a computer system
2653. being operated for the use of the
2654. federal government.
2655.   The network intrusion on November 3,
2656. affected a number of computers at
2657. federal installations including those at
2658. the Lawrence Livermore National
2659. Laboratory in San Francisco and the NASA
2660. Ames Research Center in Mountain View,
2661. Calif.
2662.   Reportedly, the FBI Case Agent has
2663. asked the Defense Data Network (DDN)
2664. Project Management Office "to collect
2665. the names of organizations and Points of
2666. Contact (names and phone numbers) that
2667. were hit by the Virus."  Those who wish
2668. to submit information will be contacted
2669. by their local FBI Field Office.
2670.   Additional information is available
2671. from the DDN security office at
2672. 703/285-5206.
2673.   --
2674.  
2675.  
2676.  
2677.  
2678. "CORE WARS" CREATOR URGES VIRUS CONTROL
2679. CENTERS TO BE SET UP
2680.  
2681.   (Nov. 25)
2682.   A Canadian professor and computer
2683. columnist with Scientific American says
2684. that governments ought to set up centers
2685. for "computer virus control" patterned
2686. after the Centers for Disease Control.
2687.   Alexander Dewdney, professor of
2688. computer science at the University of
2689. Western Ontario, told reporter Stephen
2690. Strauss of The Toronto Globe and Mail
2691. that the centers could isolate, identify
2692. and then develop antidotes for
2693. self-replicating viruses.
2694.   Dewdney became famous a few years ago
2695. by writing in Scientific American about
2696. how the principle of computer viruses
2697. could be turned into a game he called
2698. "Core Wars."
2699.   Strauss writes, "Under Dewdney's plan,
2700. an organization knowing or suspecting
2701. its system of being infected by a virus
2702. would send a copy of all or part of its
2703. main operating program to the center.
2704. There, the contaminated program would be
2705. routed to a special 'clean room' portion
2706. of the center's computer memory where it
2707. would not be able to attack anything
2708. else. Virus experts would then examine
2709. the program to determine what kind of
2710. bug was let loose... Once the viral type
2711. was determined, countermeasures could be
2712. put into effect."
2713.   Dewdney suggests this last step could
2714. be either a program counteracting the
2715. original virus or one which made the
2716. invading virus destroy all copies of
2717. itself.
2718.   "People," he said, "could expect that
2719. within 24 hours some kind of remedy
2720. would be in place."
2721.   --
2722.  
2723.  
2724.  
2725. GOVERNMENT RESPONDS TO RECENT VIRUS
2726. ATTACKS
2727.  
2728.   (Nov. 25)
2729.   Federal computer security officials
2730. are scrambling to prevent further
2731. attacks by computer viruses on
2732. government systems.
2733.   According to Government Computer News,
2734. top officials from both the
2735. military-based National Security Agency
2736. and the civilian-based National
2737. Institute of Standards and Technology
2738. are working together to develop
2739. solutions to threat.
2740.   One idea that is being considered,
2741. according to Stuart Katzke, NIST
2742. computer security chief, is the
2743. formation of a federal center for
2744. anti-virus effort that would be operated
2745. jointly by NIST and NSA.
2746.   He told GCN that the center would
2747. include a clearinghouse that would
2748. collect and disseminate information
2749. about threats, such as flaws in
2750. operating systems as well as solutions. 
2751. In addition, it would help organize
2752. responses to emergencies by quickly
2753. warning users of new threats and
2754. defenses against them.  Katzke explained
2755. that those who have solutions to a
2756. threat could transmit their answers
2757. through the center to threatened users.
2758. A database of experts would be created
2759. to speed response to immediate threats.
2760.   The center would also develop means of
2761. correcting flaws in software, such as
2762. trapdoors in operating systems.  Vendors
2763. would even be asked to develop and field
2764. solutions, notes GCN.
2765.   The only stumbling block is funding
2766. and personnel for the center.
2767.   Katzke did emphasize that viruses are
2768. actually less of a threat than poor
2769. security that allows abusers to access
2770. systems.  Excellent technical anti-virus
2771. defenses are of no use at all if
2772. management does not maintain proper
2773. control of the computer system, he told
2774. GCN.
2775.   Congress is expected to respond to the
2776. recent outbreak of virus attacks.  One
2777. bill that died in the 100th Congress,
2778. The Computer Virus Eradication Act of
2779. 1988, will be reintroduced by Rep. Wally
2780. Herger (R-Calif.).
2781.   -- Cathryn Conroy
2782.  
2783.  
2784.  
2785. LINK BETWEEN ARPANET AND MILITARY SYSTEM
2786. CUT BECAUSE OF INTRUDER
2787.  
2788.   (Dec. 1)
2789.   Apparently because of an unknown
2790. computer intruder, the Pentagon this
2791. week cut links between its unclassified
2792. military network called Milnet and
2793. Arpanet, the national academic and
2794. corporate network.
2795.   The link reportedly was cut at 10 p.m.
2796. Monday and was expected to be restored
2797. sometime today.
2798.   According to The New York Times this
2799. morning, Pentagon officials are saying
2800. officially that the move was due to
2801. technical difficulties. However, The
2802. Times quoted several unidentified
2803. security experts as saying the
2804. connection was broken after a recent
2805. intrusion into several computers
2806. operated by defense contractors and the
2807. military.
2808.   The Times said the Defense Department
2809. apparently acted after a computer at the
2810. Mitre Corp., a Bedford, Mass., think
2811. tank, was illegally entered several
2812. times over the past month. Officials at
2813. several US and Canadian universities
2814. said the intruder used their computers
2815. to reach Mitre's.
2816.   A Mitre spokeswoman confirmed that one
2817. of the firm's computers had indeed been
2818. entered, but said the systems involved
2819. had not handled any classified or
2820. sensitive information and that the
2821. problem was fixed within hours of
2822. detection.
2823.   Seven computer gateways link Milnet to
2824. Arpanet.
2825.   Arpanet is the same network that was
2826. stymied for 36 hours a month ago by a
2827. so-called virus allegedly created by
2828. Cornell University graduate student
2829. Robert Morris Jr., 23, of Arnold, Md.
2830. The Times quoted its experts as
2831. speculating that the Pentagon may have
2832. kept the connection between Milnet and
2833. Arpanet severed while it tried to rid
2834. the system of a security flaw.
2835.   Speaking of Morris, two Harvard
2836. University computer experts, graduate
2837. student Paul Graham and programmer
2838. Andrew H. Suddeth, appeared yesterday
2839. before a federal grand jury in Syracuse,
2840. N.Y., which is investigating the virus
2841. incident.
2842.   Suddeth said earlier that Morris
2843. called him in a panic for help in
2844. getting out a message to other computer
2845. operators after he reportedly realized
2846. what the virus was doing.
2847.   The Associated Press says a third
2848. person subpoenaed -- Mark Friedell, an
2849. associate professor of computer science
2850. -- was excused from testifying because
2851. he told prosecutors he knew nothing
2852. about the allegations of Morris'
2853. involvement with the virus.
2854.   Morris has not been subpoenaed to
2855. appear before the grand jury, lawyer
2856. Thomas Guidoboni of Washington, D.C.,
2857. told the Syracuse Herald-Journal.
2858.   Says AP, "Guidoboni so far has advised
2859. Morris not to talk with anyone about the
2860. virus, including FBI agents. But the
2861. lawyer said an agreement may soon be
2862. reached in which an interview with
2863. agents would be arranged."
2864.   --
2865.  
2866.  
2867.  
2868. CONGRESS TO PROBE VIRUS
2869.  
2870.   (Dec. 4)
2871.   The Internet "WORM", previously
2872. characterized as a virus, has caught the
2873. attention of federal legislators. Two
2874. congressional committees plan to
2875. schedule hearings on the purported
2876. actions of a 23-year-old Cornell
2877. University student said to be
2878. responsible for inserting the WORM
2879. program into a national computer
2880. communications network.
2881.   The House Science, Space and
2882. Technology Committee and the Crime
2883. Subcommittee of the House Judiciary
2884. Committee are planning hearings on the
2885. Internet WORM when the new 101st
2886. Congress meets. Representative Robert
2887. Roe (D-N.J.) and Rep. William Hughes
2888. (D-N.J.), the respective chairmen of the
2889. two legislative groups, are apparently
2890. concerned that even more serious
2891. pitfalls await computers used in the
2892. federal government. Rep. Hughes is
2893. well-known in computer security circles
2894. and has been instrumental in introducing
2895. computer-related legislation.
2896.   Both chairman are said to be concerned
2897. about the vulnerability of federal
2898. computers to intrusions either planned
2899. or accidental. Committee hearing dates
2900. will probably be scheduled soon after
2901. the new congress convenes on January 9.
2902.   --
2903.  
2904.  
2905.  
2906. PENTAGON FORMS VIRUS "SWAT TEAM"
2907.  
2908.   (Dec. 7)
2909.   The Pentagon is bringing together some
2910. 100 unidentified computer experts from
2911. across the country to act as a kind of
2912. "SWAT team" to respond to
2913. self-replicating "virus" programs that
2914. might threaten US defense computers.
2915.   Called CERT (the Computer Emergency
2916. Response Team), the group includes
2917. technical experts, site managers,
2918. government officers, industry contacts,
2919. executives and representatives from
2920. investigative agencies.
2921.   United Press International quotes a
2922. Pentagon statement as saying the
2923. experts' knowledge will be called upon
2924. when needed; otherwise, they will go
2925. about their usual jobs.
2926.   CERT is to be coordinated from the
2927. Software Engineering Institute at
2928. Pittsburgh's Carnegie Mellon University,
2929. where a six-member staff already is in
2930. place, UPI says.
2931.   A Pentagon spokeswoman characterized
2932. the group as "sort of a SWAT team" that
2933. will respond to security threats such as
2934. the virus that thwarted Arpanet
2935. computers for some 36 hours on Nov. 2
2936. and 3.
2937.   The government says CERT will assist
2938. researchers in responding to emergencies
2939. and will be able to rapidly establish
2940. communications with experts working to
2941. solve the problems, with affected
2942. computer users and with government
2943. authorities.
2944.   --
2945.  
2946.  
2947.  
2948. NIST AND NSA JOIN IN VIRUS DEFENSE PLAN
2949.  
2950.   (Dec. 12)
2951.   The National Security Agency and the
2952. National Institute of Standards and
2953. Technology have developed 11 possible
2954. courses of action in a plan to fight the
2955. recurrence of computer viruses on
2956. federal computer systems, reports
2957. Government Computer News.
2958.   Although many details of the plans are
2959. incomplete, sources told GCN that some
2960. of the ideas include establishment of an
2961. anti-virus coordination center for the
2962. federal government where problems would
2963. be reported and jointly supported by NSA
2964. and NIST. The center might actually
2965. evolve into a national command center
2966. that would also support commercial
2967. networks. GCN notes that staff experts
2968. would carry beepers so they could be
2969. summoned around the clock for immediate
2970. response to a virus attack.
2971.   Other plans called for the development
2972. of standard virus analysis tools to aid
2973. in the disassembly and study of viruses
2974. as well as the establishment of a
2975. response team from the government,
2976. industry and academia with the
2977. specialized skills to analyze viruses
2978. and develop defenses.
2979.   GCN notes that the group also
2980. recommended that a network of experts be
2981. maintained to ensure access to their
2982. specialized skills in a crisis. The
2983. establishment of an emergency broadcast
2984. network to disseminate attack warnings
2985. and virus defenses was also suggested.
2986. Anti-virus defenses could be broadcast
2987. over telephone lines by phones using
2988. recorded messages.
2989.   Other recommendations include better
2990. training for operators, improved back-up
2991. procedures to prevent viruses from being
2992. copied to secure backup disks and
2993. greater participation of law enforcement
2994. agencies in emergencies.
2995.   All the recommendations could be
2996. implemented under the Computer Security
2997. Act, which gives NIST authority to
2998. oversee security for civilian computer
2999. systems.
3000.   Before the plan can be implemented
3001. formally, however, NIST and NSA
3002. officials must approve it, money must be
3003. allocated and personnel must be hired.
3004.   --Cathryn Conroy
3005.  
3006.  
3007.  
3008. SOVIETS FIGHT COMPUTER VIRUSES
3009.  
3010.   (Dec. 19)
3011.   The Soviet Union says it has contended
3012. with its first computer virus, one that
3013. may have stemmed from a computer studies
3014. "summer camp" there attended earlier
3015. this year by Soviet and foreign
3016. children.
3017.   Computer specialist Sergei Abramov of
3018. the USSR Academy of Sciences told Radio
3019. Moscow yesterday that the virus was
3020. found last August at the academy's
3021. Institute of Program Systems. He said
3022. the virus invaded systems in at least
3023. five government-run institutions, but
3024. that scientists now have developed a way
3025. to detect known viruses and to prevent
3026. serious damage.
3027.   Charles Mitchell of United Press
3028. International quoted Abramov as saying
3029. the virus, dubbed DOS-62, infected 80
3030. computers at the academy before it was
3031. brought under control 18 hours later.
3032. Abramov believes the virus was
3033. introduced when Soviet students used the
3034. institute's computers to copy infected
3035. application programs and games for
3036. personal computers.
3037.   Of the computer summer camp, Abramov
3038. did not say from which countries the
3039. foreign students came, but added, "Here
3040. in the Soviet Union there was not a
3041. single instance of a computer virus
3042. attack until August of this year but now
3043. at least two different viruses have been
3044. encountered by five different
3045. institutions."
3046.   He did not identify the five
3047. institutions, nor did he say whether
3048. viruses had infected any Soviet
3049. computers connected to Western European
3050. databases.
3051.   Mitchell also quoted Abramov as saying
3052. that concern about viruses caused Soviet
3053. scientists to place a high priority on
3054. finding a defense for what he said were
3055. the 15 known digital virus strains in
3056. the world. He said he headed the team
3057. that found such a shield.
3058.   "This protective system has no
3059. counterpart in the world," Abramov said,
3060. adding that details remain a state
3061. secret but that the defense, known
3062. formally as PC-Shield, has been tested
3063. on IBM computers in the Soviet Union.
3064.   "The system provides early warning of
3065. an attack by practically any virus known
3066. in the world," he said. "It has a
3067. two-tiered system of protection. The
3068. first tier warns the user of an attack
3069. enabling him to stop the computer. The
3070. second tier assures the detection of any
3071. virus still unknown as well as known and
3072. prevents it from spreading."
3073.   UPI also quoted Radio Moscow as saying
3074. that earlier this year an unidentified
3075. programer at the Gorky Automobile Works
3076. on the Volga river was charged with
3077. deliberately using a virus to shut down
3078. an assembly line in a dispute over work
3079. conditions. The broadcast said the man
3080. was convicted under Article 206, the
3081. so-called Hooliganism law, which
3082. provides for a jail term of up to six
3083. years for "violating public order in a
3084. coarse manner and expressing a clear
3085. disrespect toward society."
3086.   --
3087.  
3088.  
3089.  
3090. ANOTHER COMMERCIAL PROGRAM SAID TO BE
3091. INFECTED BY "NVIR" VIRUS
3092.  
3093.   (Dec. 20)
3094.   For the third time this year, a
3095. commercial software package has been
3096. infected by a computer virus. This time
3097. the rogue program -- apparently another
3098. version of the so-called "nVir" virus --
3099. has shown up on a compact disk.
3100.   Business writer Peter Coy of The
3101. Associated Press says the virus was
3102. found in seven programs on the second
3103. edition of a CD-ROM called MegaROM,
3104. which is sold for the Apple Macintosh
3105. community by Quantum Leap Technology
3106. Inc. of Coral Gables, Fla.
3107.   Coy says the infection, which was
3108. detected with virus- screening programs,
3109. apparently occurred when the disk was
3110. being prepared for duplication at Nimbus
3111. Records in Charlottesville, Va. The
3112. virus, which does not appear to be
3113. dangerous, was spotted after about 400
3114. copies of the disk had been shipped, he
3115. says.
3116.   John Sands, technical operations
3117. manager of Nimbus' CD- ROM division,
3118. told the wire service the virus came
3119. from a piece of software residing on a
3120. hard disk for Macintosh computers that
3121. was manufactured by CMS Enhancements
3122. Inc. of Tustin, Calif. Sands faulted CMS
3123. for not alerting Nimbus and its other
3124. disk drive customers about the virus
3125. threat.
3126.   In response, CMS President Jim
3127. Farooque told Coy that as of yesterday
3128. afternoon he hadn't been able to verify
3129. that the virus had indeed come from his
3130. company. Conceding that some of his
3131. employees previously had told people at
3132. Nimbus that the virus had come on a CMS
3133. floppy disk used to prepare the hard
3134. disk for receiving data, Farooque said,
3135. "It's possible that ... they are
3136. communicating back and forth information
3137. that may or may not be true."
3138.   He added the company voluntarily was
3139. helping people get rid of the viruses
3140. without admitting responsibility for
3141. them.
3142.   Quantum Leap President Robert Burr
3143. told Coy his firm was alerted to the
3144. virus on Dec. 9 and began notifying
3145. recipients of the infected MegaRom disks
3146. last week. The infected disks are
3147. imprinted with a green decorative
3148. pattern, while the new disks that are
3149. virus-free have a blue pattern.
3150.   Coy also noted, "Almost half of the
3151. infected disks were shipped to members
3152. of the computer press for review. The
3153. disks are filled with programs, known as
3154. shareware or freeware, that are
3155. available for free from places such as
3156. computer bulletin boards."
3157.   The nVir virus first appeared in
3158. another commercial program -- Aldus
3159. Corp.'s FreeHand drawing software for
3160. the Mac -- last October. Until now,
3161. Aldus was the only commercial software
3162. firm to publicly report a virus problem.
3163. Last March, an earlier version of
3164. FreeHand was infected by different
3165. virus.
3166.   --
3167.  
3168.  
3169. VIRUSES TEST COMPUTER CRIME LAWS
3170.  
3171.   (Dec. 20)
3172.   The perpetration of computer viruses
3173. is a punishable crime that is generally,
3174. although not specifically, addressed by
3175. a number of federal and state criminal
3176. statues. Despite this, law enforcement
3177. officials are finding that successful
3178. prosecutions tend to decrease
3179. dramatically as the sophistication of
3180. the misdeed increases, reports the Los
3181. Angeles Times.
3182.   "There are a lot of hairy evidence
3183. questions with computer crimes," said
3184. Jack Bologna, head of the International
3185. Association of Computer Crime
3186. Investigators. "Documentation today is
3187. different than when you had a complete
3188. paper trail. It is now possible to cause
3189. a computer crime in which you destroy
3190. all the evidence."
3191.   Traditionally, computer thieves have
3192. been tried under ordinary grand theft
3193. and fraud sections of state criminal
3194. codes, but since 1984 (a year after the
3195. debut of the movie "War Games"), the
3196. laws have been changing to keep up with
3197. the state of technology. Now, 48 states
3198. and the federal government have specific
3199. laws governing against computer crime.
3200.   Statistics show that an overwhelming
3201. majority of cases that reach a judge
3202. result in convictions, according to the
3203. National Center for Computer Crime Data.
3204. But most of the crimes are never
3205. prosecuted because of lack of sufficient
3206. evidence or because the victims, usually
3207. large corporations, are too embarrassed
3208. to notify authorities. But to date,
3209. there have been no prosecutions of
3210. computer viruses, which first emerged
3211. about 18 months ago.
3212.   Even the notorious case of Robert T.
3213. Morris Jr., the 23- year-old Cornell
3214. University graduate student suspected of
3215. creating the virus that madly replicated
3216. across the vast network of military and
3217. university computers this fall, has not
3218. yet been prosecuted. The Times notes
3219. that the FBI is now studying four
3220. federal criminal statutes to determine
3221. whether it should prosecute Morris.
3222. Authorities concede the case is fraught
3223. with legal problems, meaning it is
3224. possible he will never be prosecuted.
3225.   --Cathryn Conroy
3226.  
3227.  
3228.  
3229. Online Today            OLT-1512
3230.  
3231. ONLINE TODAY'S BACKGROUNDER: COMPUTER
3232. "VIRUS," PART FOUR
3233.  
3234.   (Editor's note: Computer "viruses" --
3235. self-propagating programs that spread
3236. from one machine to another and from one
3237. disk to another -- have been very much
3238. in the news. This file contains
3239. virus-related stories carried by Online
3240. Today's electronic edition beginning in
3241. January 1989.)
3242.  
3243. VIRUS STRIKES UNIVERSITY OF OKLA.
3244.  
3245.   (Jan. 11)
3246.   Officials at the University of
3247. Oklahoma in Norman, Okla., blame a
3248. computer virus for ruining several
3249. students' papers and shutting down
3250. terminals and printers in a student lab
3251. at the university library.
3252.   Manager Donald Hudson of Bizzell
3253. Memorial Library told The Associated
3254. Press that officials have purged the
3255. library computers of the virus. He said
3256. the library also has set up extra
3257. computers at its lab entrance to inspect
3258. students' programs for viruses before
3259. they are used on other computers.
3260.   The wire service said the library's
3261. virus probably got into a computer
3262. through a student's disk, but the
3263. student may not have known the virus was
3264. there. Hudson said the library's
3265. computers are not linked to any
3266. off-campus systems. However, the
3267. computers are connected through
3268. printers, which he said allowed the
3269. virus to spread.
3270.   --
3271.  
3272.  
3273. "FRIDAY THE 13TH" VIRUS STRIKES
3274.  
3275.   (Jan. 13)
3276.   Data files and programs on personal
3277. computers throughout Britain apparently
3278. were destroyed today by what was termed
3279. a "Friday the 13th" computer virus.
3280.   Alan Solomon, managing director of S
3281. and S Enterprises, a British data
3282. recovery center, told The Associated
3283. Press that hundreds of users of IBM and
3284. compatible PCs reported the virus, which
3285. he said might be a new species.
3286.   Solomon, who also is chairman of an
3287. IBM users group, told the wire service
3288. that phone lines to the center were busy
3289. with calls for help from businesses and
3290. individuals whose computers were struck
3291. by the virus.
3292.   "It has been frisky," he said, "and
3293. hundreds of people, including a large
3294. firm with over 400 computers, have
3295. telephoned with their problems."
3296.   S and S hopes to figure out how the
3297. virus operates and then attempt to
3298. disable it. "The important thing is not
3299. to panic and start trying to delete
3300. everything in a bid to remove the
3301. virus," Solomon said. "It is just a
3302. pesky nuisance and is causing a lot of
3303. problems today."
3304.   --
3305.  
3306.  
3307. "FRIDAY THE 13TH" VIRUS MAY BE NEW
3308. VERSION OF ONE FROM ISRAEL
3309.  
3310.   (Jan. 14)
3311.   Investigators think the "Friday the
3312. 13th" virus that struck Britain
3313. yesterday might be a new version of the
3314. one that stymied computers at the Hebrew
3315. University in Jerusalem on another
3316. Friday the 13th last May.
3317.   As reported here yesterday (GO
3318. OLT-308), hundreds of British IBM PCs
3319. and compatibles were struck by the
3320. virus, which garbled data and deleted
3321. files.
3322.   Jonathan Randal of The Washington Post
3323. Foreign Service reports the program is
3324. being called the "1,813" variety,
3325. because of the number of unwanted bytes
3326. it adds to infected software.
3327.   He says the specialists are convinced
3328. the program "is the brainchild of a
3329. mischievous -- and undetected --
3330. computer hacker at Hebrew University."
3331.   Alan Solomon, who runs the IBM
3332. Personal Computer User Group near
3333. London, told the Post wire service that
3334. 1,813 was relatively benign, "very
3335. minor, just a nuisance or a practical
3336. joke."
3337.   Solomon said he and other specialists
3338. first noted the virus in Britain several
3339. months ago when it began infecting
3340. computers. Solomon's group wrote
3341. security software with it distributed
3342. free, so, he said, the virus basically
3343. struck only the unlucky users who didn't
3344. take precautions.
3345.   --
3346.  
3347.  
3348.  
3349. LIBRARY OF CONGRESS VIRUS VICTIM
3350.  
3351.   (Jan. 27)
3352.   An official with the US Library of
3353. Congress acknowledges that the
3354. institution was struck by a computer
3355. virus last fall.
3356.   Speaking to a delegation of Japanese
3357. computer specialists touring Washington,
3358. D.C., yesterday, Glenn McLoughlin of the
3359. library's Congressional Research Service
3360. disclosed that a virus was spotted and
3361. killed out of the main catalog computer
3362. system before it could inflict any
3363. damage to data files.
3364.   Associated Press writer Barton Reppert
3365. quoted McLoughlin as saying, "It was
3366. identified before it could spread or
3367. permanently erase any data."
3368.   McLoughlin added the virus was found
3369. after personnel logged onto computers at
3370. the library and noticed they had
3371. substantially less memory space to work
3372. with than they had expected.
3373.   He said the virus apparently entered
3374. the system through software obtained
3375. from the University of Maryland. "We
3376. don't know," he said, "whether it was a
3377. student at Maryland, or whether Maryland
3378. had gotten it from somebody else. That
3379. was simply the latest point of departure
3380. for the software."
3381.   Meanwhile, Reppert also quoted
3382. computer security specialist Lance J.
3383. Hoffman of George Washington University
3384. as saying the world may be heading
3385. toward a catastrophic computer failure
3386. unless more effective measures are taken
3387. to combat viruses.
3388.   Comparing last November's virus
3389. assault on the Pentagon's ARPANET
3390. network to a nuclear accident that
3391. "could have had very disastrous
3392. consequences for our society," Hoffman
3393. told the visitors, "It wasn't Chernobyl
3394. yet, it was the Three Mile Island -- it
3395. woke a lot of people up."
3396.   Online Today has been following
3397. reports of viruses for more than a year
3398. now. For background files, type GO
3399. OLT-2039 at any prompt. And for other
3400. stories from The Associated Press, type
3401. GO APO.
3402.   --
3403.  
3404.  
3405.  
3406. CHRISTMAS VIRUS FROM FRANCE?
3407.  
3408.    (Jan 30)
3409.    A little noticed software worm, the
3410. so-called Christmas Decnet virus, may
3411. have originated from Germany or France.
3412. Apparently released at the end of
3413. December, the worm replicated itself
3414. only onto Digital Equipment Corp.
3415. computers that were connected to Decnet,
3416. a national communications network often
3417. accessed by DEC users.
3418.   At least one system administrator has
3419. noticed that the worm collected
3420. identifying information from the invaded
3421. terminals and electronically mailed that
3422. information to a network node in France.
3423. The assumption is that the French node
3424. collected the information and,
3425. subsequently, used it to propagate the
3426. worm throughout the network.
3427.   The so-called German connection came
3428. about because of the way the worm
3429. presents text information on invaded
3430. terminals. Though written in English,
3431. the worm message is said to contain
3432. strong indications of Germanic language
3433. syntax. Predictably, a German
3434. "connection" has led to speculation that
3435. Germany's Chaos Computer Club may have
3436. had a role in worm's creation.
3437.   --
3438.  
3439.  
3440.  
3441. FEDERAL GROUP FIGHTS VIRUSES
3442.  
3443.   (Feb. 3)
3444.   The Computer Emergency Response Team
3445. (CERT) has been formed by the Department
3446. of Defense and hopes to find volunteer
3447. computer experts who will help federal
3448. agencies fight computer viruses. CERT's
3449. group of UNIX experts are expected to
3450. help users when they encounter network
3451. problems brought on by worms or viruses.
3452.   A temporary group that was formed last
3453. year after Robert T. Morris Jr.
3454. apparently let loose a bug that infected
3455. the Department of Defense's Advanced
3456. Project Agency network (ARPANET), will
3457. be disbanded.
3458.   The Morris case has some confusing
3459. aspects in that some computer groups
3460. have accused federal prosecutors with
3461. reacting hysterically to the ARPANET
3462. infection. It has been pointed out that
3463. the so-called Morris infection was not a
3464. virus, and that evidence indicates it
3465. was released onto the federal network
3466. accidentally.
3467.   CERT is looking toward ARPANET members
3468. to supply its volunteers. Among those
3469. users are federal agencies, the Software
3470. Engineering Institute and a number of
3471. federally-funded learning institutions.
3472. Additional information is available from
3473. CERT at 412/268- 7090.
3474.   --
3475.  
3476.  
3477.  
3478. COMPUTER VIRUSES HOT ISSUE IN CONGRESS
3479.  
3480.   (Feb. 3)
3481.   One of the hottest high-tech issues on
3482. Capitol Hill is stemming the plague of
3483. computer viruses.
3484.   According to Government Computer News,
3485. Rep. Wally Herger (R-Calif.) has pledged
3486. to reintroduce a computer virus bill
3487. that failed to pass before the 100th
3488. Congress adjourned this past fall.  The
3489. measure will create penalties for people
3490. who inject viruses into computer
3491. systems.
3492.   "Unfortunately, federal penalties for
3493. those who plant these deadly programs do
3494. not currently exist," said Herger. "As a
3495. result, experts agree that there is
3496. little reason for a hacker to even think
3497. twice about planting a virus."  (Herger
3498. then later corrected himself saying
3499. those who plant viruses are not hackers
3500. but rather criminals.)
3501.   GCN notes that the bill calls for
3502. prison sentences of up to 10 years and
3503. extensive fines for anyone convicted of
3504. spreading a computer virus. It would
3505. also allow for civil suits so people and
3506. businesses could seek reimbursement for
3507. system damage caused by a virus attack.
3508.   If the bill is referred to the
3509. Judiciary Committee, as is likely, it
3510. stands a reasonable chance of passage. 
3511. Rep. Jack Brooks, a longtime technology
3512. supporter, is the new head of that
3513. committee and he has already stated that
3514. the new position will not dampen his
3515. high-tech interests.
3516.   -- Cathryn Conroy CONGRESS LOOKS AT
3517. ANOTHER COMPUTER PROTECTION BILL
3518.  
3519.     (Feb. 27)
3520.   The Computer Protection Act (HR 287)
3521. is the latest attempt by Congress to
3522. battle computer viruses and other forms
3523. of sabotage on the high-tech machines.
3524.   Introduced by Rep. Tom McMillan
3525. (D-Md.), the bill calls for a maximum of
3526. 15 years in prison with fines of
3527. $100,000 to $250,000 for those convicted
3528. of tampering with a computer, be it
3529. hardware or software.
3530.   "With the proliferation of various
3531. techniques to tamper with computers, we
3532. need to fill the void in federal law to
3533. deal with these criminals," said
3534. McMillan.  "This legislation will send
3535. the clear signal that infiltrating
3536. computers is not just a cute trick; it's
3537. against the law."
3538.   The bill, which has been referred to
3539. the Judiciary Committee, is written
3540. quite broadly and is open to
3541. interpretation.
3542.   -- Cathryn Conroy
3543.  
3544.  
3545.  
3546. VIRUS CREATOR FOUND DEAD AT 39
3547.  
3548.   (March 17)
3549.   A Californian who said he and one of
3550. his students created the first computer
3551. virus seven years ago as an experiment
3552. has been found dead at 39 following an
3553. apparent aneurysm of the brain.
3554.   Jim Hauser of San Luis Obispo died
3555. Sunday night or Monday morning, the
3556. local Deputy Coroner, Ray Connelly, told
3557. The Associated Press.
3558.   Hauser once said he and a student
3559. developed the first virus in 1982,
3560. designing it to give users a "guided
3561. tour" of an Apple II. He said that,
3562. while his own program was harmless, he
3563. saw the potentially destructive
3564. capability of what he termed an
3565. "electronic hitchhiker" that could
3566. attach itself to programs without being
3567. detected and sneak into private systems.
3568.   --
3569.  
3570.  
3571.  
3572. HOSPITAL STRUCK BY COMPUTER VIRUS
3573.  
3574.    (March 22)
3575.   Data on two Apple Macintoshes used by
3576. a Michigan hospital was altered recently
3577. by one or more computer viruses, at
3578. least one of which apparently traveled
3579. into the system on a new hard disk that
3580. the institution bought.
3581.   In its latest edition, the prestigious
3582. New England Journal of Medicine quotes a
3583. letter from a radiologist at William
3584. Beaumont Hospitals in Royal Oak, Mich.,
3585. that describes what happened when two
3586. viruses infected computers used to store
3587. and read nuclear scans that are taken to
3588. diagnose patients' diseases.
3589.   The radiologist, Dr. Jack E. Juni,
3590. said one of the viruses was relatively
3591. benign, making copies of itself while
3592. leaving other data alone. However, the
3593. second virus inserted itself into
3594. programs and directories of patient
3595. information and made the machines
3596. malfunction.
3597.   "No lasting harm was done by this,"
3598. Juni wrote, because the hospital had
3599. backups, "but there certainly was the
3600. potential."
3601.   Science writer Daniel Q. Haney of The
3602. Associated Press quoted Juni's letter as
3603. saying about three-quarters of the
3604. programs stored in the two Mac II PCs
3605. were infected.
3606.   Haney said Juni did not know the
3607. origin of the less harmful virus, "but
3608. the more venal of the two apparently was
3609. on the hard disk of one of the computers
3610. when the hospital bought it new. ... The
3611. virus spread from one computer to
3612. another when a doctor used a word
3613. processing program on both machines
3614. while writing a medical paper."
3615.   Juni said the hard disk in question
3616. was manufactured by CMS Enhancements of
3617. Tustin, Calif.
3618.   CMS spokesman Ted James confirmed for
3619. AP that a virus was inadvertently put on
3620. 600 hard disks last October.
3621.   Says Haney, "The virus had
3622. contaminated a program used to format
3623. the hard disks. ... It apparently got
3624. into the company's plant on a hard disk
3625. that had been returned for servicing.
3626. James said that of the 600 virus-tainted
3627. disks, 200 were shipped to dealers, and
3628. four were sold to customers."
3629.   James also said the virus was "as
3630. harmless as it's possible to be," that
3631. it merely inserted a small piece of
3632. extra computer code on hard disks but
3633. did not reproduce or tamper with other
3634. material on the disk. James told AP he
3635. did not think the Michigan hospital's
3636. problems actually were caused by that
3637. virus.
3638.   --
3639.  
3640.  
3641.  
3642.  
3643. MORE HOSPITALS STRUCK BY VIRUS
3644.  
3645.   (March 23)
3646.   The latest computer virus attack, this
3647. one on hospital systems, apparently was
3648. more far- reaching than originally
3649. thought.
3650.   As reported here, a radiologist wrote
3651. a letter to the New England Journal of
3652. Medicine detailing how data on two Apple
3653. Macintoshes used by the William Beaumont
3654. Hospital in Royal Oak, Mich., was
3655. altered by one or more computer viruses.
3656. At least one of the viruses, he said,
3657. apparently traveled into the system on a
3658. new hard disk the institution bought.
3659.   Now Science writer Rob Stein of United
3660. Press International says the virus --
3661. possibly another incarnation of the
3662. so-called "nVIR" virus -- infected
3663. computers at three Michigan hospitals
3664. last fall. Besides the Royal Oak
3665. facility, computers at another William
3666. Beaumont Hospital in Troy, Mich., were
3667. infected as were some desktop units at
3668. the University of Michigan Medical
3669. Center in Ann Arbor.
3670.   Stein also quoted Paul Pomes, a virus
3671. expert at the University of Illinois in
3672. Champaign, as saying this was the first
3673. case he had heard of in which a virus
3674. had disrupted a computer used for
3675. patient care or diagnosis in a hospital.
3676. However, he added such disruptions could
3677. become more common as personal computers
3678. are used more widely in hospitals.
3679.   The virus did not harm any patients
3680. but reportedly did delay diagnoses by
3681. shutting down computers, creating files
3682. of non-existent patients and garbling
3683. names on patient records, which could
3684. have caused more serious problems.
3685.   Dr. Jack Juni, the radiology who
3686. reported the problem in the medical
3687. journal, said the virus "definitely did
3688. affect care in delaying things and it
3689. could have affected care in terms of
3690. losing this information completely." He
3691. added that if patient information had
3692. been lost, the virus could have forced
3693. doctors to repeat tests that involve
3694. exposing patients to radiation. Phony
3695. and garbled files could have caused a
3696. mix-up in patient diagnosis. "This was
3697. information we were using to base
3698. diagnoses on," he said. "We were lucky
3699. and caught it in time."
3700.   Juni said the virus surfaced when a
3701. computer used to display images used to
3702. diagnose cancer and other diseases began
3703. to malfunction at the 250-bed Troy
3704. hospital last August. In October, Juni
3705. discovered a virus in the computer in
3706. the Troy hospital. The next day, he
3707. found the same virus in a similar
3708. computer in the 1,200-bed Royal Oak
3709. facility.
3710.   As noted, the virus seems to have
3711. gotten into the systems through a new
3712. hard disk the hospitals bought, then
3713. spread via floppy disks.
3714.   The provider of the disk, CMS
3715. Enhancements Inc. of Tustin, Calif.,
3716. said it found a virus in a number of
3717. disks, removed the virus from the disks
3718. that had not been sent to customers and
3719. sent replacement programs to
3720. distributors that had received some 200
3721. similar disks that already had been
3722. shipped.
3723.   However, CMS spokesman Ted James
3724. described the virus his company found as
3725. harmless, adding he doubted it could
3726. have caused the problems Juni described.
3727. "It was a simple non-harmful virus,"
3728. James told UPI, "that had been created
3729. by a software programmer as a
3730. demonstration of how viruses can infect
3731. a computer."
3732.   Juni, however, maintains the version
3733. of the virus he discovered was a mutant,
3734. damaging version of what originally had
3735. been written as a harmless virus known
3736. as "nVIR." He added he also found a
3737. second virus that apparently was
3738. harmless. He did not know where the
3739. second virus originated.
3740.   --
3741.  
3742.  
3743. GOVERNMENT PLANS FOR ANTI-VIRUS CENTERS
3744.  
3745.   (March 24)
3746.   Federal anti-virus response centers
3747. that will provide authentic solutions to
3748. virus attacks as they occur will be
3749. developed by the National Institute of
3750. Standards and Technology, reports
3751. Government Computer News.
3752.   The centers will rely on unclassified
3753. material throughout the federal
3754. government and provide common services
3755. and communication among other response
3756. centers.
3757.   NIST will urge agencies to establish a
3758. network of centers, each of which will
3759. service a different use or technological
3760. constituency.  They will offer emergency
3761. response support to users, including
3762. problem-solving and identification of
3763. resources. GCN notes they will also aid
3764. in routine information sharing and help
3765. identify problems not considered
3766. immediately dangerous, but which can
3767. make users or a system vulnerable to
3768. sabotage.
3769.   A prototype center called the Computer
3770. Emergency Response Team is already
3771. operational at the Defense Advanced
3772. Research Projects Agency and will serve
3773. as a model for the others.
3774.   Although NIST and the Department of
3775. Energy will provide start-up funds, each
3776. agency will have to financially support
3777. its response center.
3778.   --Cathryn Conroy
3779.  
3780.  
3781.  
3782.  
3783. ILLINOIS STUDIES VIRUS LAW
3784.  
3785.   (April 15)
3786.   The virus panic in some state
3787. legislatures continues as anti- virus
3788. legislation is introduced in Illinois.
3789.   Illinois House Bill 498 has been
3790. drafted by Rep. Ellis B. Levin
3791. (D-Chicago) to provide criminal
3792. penalties for loosing a so-called
3793. computer virus upon the public.  The
3794. bill is similar to one that has been
3795. introduced in Congress.
3796.   Rep. Levin's bill provides that a
3797. person commits "'computer tampering by
3798. program' when he knowingly: inserts into
3799. a computer program information or
3800. commands which, when the program is run,
3801. causes or is designed to cause the loss,
3802. damage or disruption of a computer or
3803. its data, programs or property to
3804. another person; or provides or offers
3805. such a program to another person."
3806.   Conviction under the legislation would
3807. result in a felony.  A second conviction
3808. would bring harsher penalties.
3809.   Currently, the bill is awaiting a
3810. hearing in the Illinois' House Judiciary
3811. II Committee.  It is expected that
3812. testimony on HB 498 will be scheduled
3813. sometime during April.
3814.   --
3815.  
3816.  
3817. ERRORS, NOT CRACKERS, MAIN THREAT
3818.  
3819.   (April 28)
3820.   A panel of computer security experts
3821. has concluded that careless users pose a
3822. greater threat than malicious saboteurs
3823. to corporate and government computer
3824. networks.
3825.   Citing the well-publicized allegations
3826. that Cornell University graduate student
3827. Robert T. Morris Jr. created a worm
3828. program last November that swept through
3829. some 6,000 networked systems, Robert H.
3830. Courtney Jr. commented, "It was a
3831. network that no one attempted to
3832. secure."
3833.   According to business writer Heather
3834. Clancy of United Press International,
3835. Courtney, president of Robert Courtney
3836. Inc. computer security firm, said the
3837. openness of Internet was the primary
3838. reason it was popular among computer
3839. crackers, some of whom are less talented
3840. or more careless than others.
3841.   "People making mistakes are going to
3842. remain our single biggest security
3843. problems," he said. "Crooks can never,
3844. ever catch up."
3845.   Sharing the panel discussion in New
3846. York, Dennis D. Steinauer, a computer
3847. scientist with the National Institute
3848. for Standards and Technologies, added
3849. that network users should not rely only
3850. on technological solutions for security
3851. breaks.
3852.   "Not everyone needs all security
3853. products and mechanisms out there," he
3854. said. "The market is not as large as it
3855. is for networking equipment in general."
3856. He added that a standard set of program
3857. guidelines, applicable to all types of
3858. networks, should be created to prevent
3859. mishaps. "There has been a tremendous
3860. amount of work in computer (operating)
3861. standards. The same thing is now
3862. happening in security."
3863.   Fellow panelist Leslie Forman, AT&T's
3864. division manager for the data systems
3865. group, said companies can insure against
3866. possible security problems by training
3867. employees how to use computers properly
3868. and tracking users to make sure they
3869. aren't making potentially destructive
3870. errors. "It's not a single home run that
3871. is going to produce security in a
3872. network," she said. "It's a lot of
3873. little bunts."
3874.   --
3875.  
3876.  
3877. EXPERTS TESTIFY ON COMPUTER CRIME
3878.  
3879.   (May 16)
3880.   Electronic "burglar alarms" are needed
3881. to protect US military and civilian
3882. computer systems, Clifford Stoll, an
3883. astronomer at the Harvard- Smithsonian
3884. Center for Astrophysics, told a Senate
3885. Judiciary subcommittee hearing on
3886. computer crimes, reports United Press
3887. International.
3888.   Stoll was the alert scientist who
3889. detected a 75-cent accounting error in
3890. August 1986 in a computer program at
3891. Lawrence Berkeley Laboratory that led
3892. him to discover a nationwide computer
3893. system had been electronically invaded
3894. by West Germans.
3895.   "This was a thief stealing information
3896. from our country," he said. "It deeply
3897. bothers me that there are reprobates who
3898. say, `I will steal anything I can and
3899. sell it to whoever I want to.' It opened
3900. my eyes."
3901.   Following his discovery, Stoll was so
3902. immersed in monitoring the illegal
3903. activity that he was unable to do any
3904. astronomy work for a year.
3905.   "People kind of look at this as a
3906. prank," Stoll said. "It's kind of funny
3907. on the one hand. But it's people's work
3908. that's getting wiped out."
3909.   The West German computer criminals,
3910. who were later determined to have been
3911. working for Soviet intelligence,
3912. searched the US computer network for
3913. information on the Strategic Defense
3914. Initiative, the North American Defense
3915. Command and the US KH-11 spy satellite. 
3916. They also withdrew information from
3917. military computers in Alabama and
3918. California, although no classified
3919. information was on any of the computer
3920. systems.
3921.   William Sessions, FBI director, also
3922. appeared before the Senate subcommittee
3923. and said the bureau is setting up a team
3924. to concentrate on the problem.
3925.   He explained that computer crimes are
3926. among "the most elusive to investigate"
3927. since they are often "invisible."  The
3928. FBI has trained more than 500 agents in
3929. this area.
3930.   UPI notes that Sessions agreed to
3931. submit his recommendations to Sen.
3932. Patrick Leahy (D-Vt.), the subcommittee
3933. chairman, for new laws that could be
3934. used to protect sensitive computer
3935. networks from viruses. Currently, there
3936. are no federal laws barring computer
3937. viruses.
3938.   The FBI is working with other federal
3939. agencies to assess the threat of such
3940. crimes to business and national
3941. security.
3942.   William Bayes, assistant FBI director,
3943. told the senators he likens a computer
3944. to a house with locks on the door.  He
3945. explained that he has placed a burglar
3946. alarm on his computer at Berkeley,
3947. programming it to phone him when someone
3948. tries to enter it.  He said more
3949. computer burglar alarms may be needed.
3950.   -- Cathryn Conroy
3951.  
3952.  
3953. MASS. CONSIDERS NEW INTRUSION LAW
3954.  
3955.   (May 21)
3956.   In Boston, a state senator has offered
3957. a bill that would make it a violation of
3958. Massachusetts law to enter a computer
3959. without authorization. It also would
3960. level penalties against those caught
3961. planting so-called computer "viruses."
3962.   Sen. William Keating, the bill's
3963. sponsor, told The Associated Press his
3964. measure considers this new category of
3965. crime to be analogous to breaking into a
3966. building.
3967.   "It's an attempt," Keating added, "to
3968. put on the statutes a law that would
3969. penalize people for destruction or
3970. deliberate modification or interference
3971. with computer properties. It clarifies
3972. the criminal nature of the wrongdoing
3973. and, I think, in that sense serves as a
3974. deterrent and makes clear that this kind
3975. of behavior is criminal activity."
3976.   The senator credits a constituent,
3977. Elissa Royal, with the idea for the
3978. bill. Royal, whose background is in
3979. hospital administration, told AP, "I
3980. heard about (computer) viruses on the
3981. news. My first thought was the clinical
3982. pathology program. Our doctors would
3983. look at it and make all these decisions
3984. without looking at the hard copy. I
3985. thought, what if some malevolent, bright
3986. little hacker got into the system and
3987. changed the information? How many people
3988. would be injured or die?"
3989.   Keating's bill would increase
3990. penalties depending on whether the
3991. attacker merely entered a computer,
3992. interfered with its operations or
3993. destroyed data. In the most serious
3994. case, a person found guilty of knowingly
3995. releasing a virus would be subject to a
3996. maximum of 10 years in prison or a
3997. $25,000 fine.
3998.   AP says the bill is pending in
3999. committee, as staff members are refining
4000. its language to carefully define the
4001. term "virus."
4002.   --
4003.  
4004.  
4005. COMPUTER VACCINE MARKET THRIVES ON USER
4006. FEAR
4007.  
4008.   (May 23)
4009.   The computer protection market is
4010. thriving. The reason? Fear. Fear of the
4011. spread of computer viruses and worms has
4012. caused a boom in products that are
4013. designed to protect unwitting users from
4014. the hazards of high- tech diseases.
4015.   According to the Dallas Morning News,
4016. there is a surging cottage industry
4017. devoted to creating "flu shots" and
4018. "vaccines" in the form of software and
4019. hardware; however, many of these cures
4020. are nothing more than placebos.
4021.   "There's a protection racket springing
4022. up," said Laura A. DiDio, senior editor
4023. of Network World, the trade publication
4024. that sponsored a recent executive
4025. roundtable conference in Dallas on
4026. "Network Terrorism."
4027.   Last year alone, American businesses
4028. lost a whopping $555.5 million, 930
4029. years of human endeavor and 15 years of
4030. computer time from unauthorized access
4031. to computers, according to statistics
4032. released by the National Center for
4033. computer Crime Data in Los Angeles,
4034. Calif.
4035.   The most difficult systems to protect
4036. against viruses are computer networks
4037. since they distribute computing power
4038. throughout an organization. Despite the
4039. threat, sales are thriving.  Market
4040. Intelligence Research says sales of
4041. personal computing networking equipment
4042. grew 50 percent last year and are
4043. expected to grow another 41 percent this
4044. year to $929.5 million.
4045.   Meanwhile, the Computer Virus Industry
4046. Association says that the number of
4047. computer devices infected by viruses in
4048. a given month grew last year from about
4049. 1,000 in January to nearly 20,000 in
4050. November and remained above 15,000 in
4051. December.
4052.   -- Cathryn Conroy
4053.  
4054.  
4055.  
4056. PENDING COMPUTER LAWS CRITICIZED
4057.  
4058.   (June 18)
4059.   Computer attorney Jonathan Wallace
4060. says that the virus hysteria still
4061. hasn't quieted down and that legislation
4062. that will be reintroduced in Congress
4063. this year is vague and poorly drafted.
4064.   Noting that at least one state, New
4065. York, is also considering similar
4066. legislation, Wallace says that
4067. legislators may have overlooked existing
4068. laws that apply to "software weapons." 
4069. In a newsletter sent out to clients,
4070. Wallace notes that both the Electronic
4071. Communications Privacy Act (ECPA) and
4072. the Computer Fraud and Abuse Act (CFAA)
4073. cover the vast majority of software
4074. crimes.
4075.   Wallace points out that both the ECPA
4076. and the CFAA already impose criminal
4077. penalties on illegal actions.  Even the
4078. Senate Judiciary Committee has refutted
4079. the idea that more federal laws are
4080. needed. "Why don't we give existing laws
4081. a chance to work, before rushing off to
4082. create new ones," Wallace asks.
4083.   Wallace is the editor of Computer Law
4084. Letter and is an Assistant System
4085. Administrator on CompuServe's Legal
4086. Forum (GO LAWSIG).
4087.   --
4088.  
4089.  
4090. NEW VIRUS HITS THAI COMPUTERS
4091.  
4092.   (June 27)
4093.   A newspaper in Bangkok is reporting
4094. that a new computer virus, said to be
4095. the most destructive yet discovered, has
4096. struck computer systems in Thailand.
4097.   According to the Newsbytes News
4098. Service, computer security specialist
4099. John Dehaven has told The Bangkok Post,
4100. "This is a very subtle virus that can
4101. lay dormant, literally, for years."
4102.   The wire service says that two Thai
4103. banks and several faculties at
4104. Chulalongkorn University were hit by the
4105. rogue program -- called the "Israeli
4106. virus," because it was first detected
4107. there -- at the beginning of last month.
4108. Newsbytes says the infection spreads
4109. quickly through any computer once it is
4110. activated.
4111.   --
4112.  
4113.  
4114.  
4115. CONGRESS STUDIES COMPUTER VIRUSES
4116.  
4117.   (July 21)
4118.   The Congress is taking a hard look at
4119. a new report that says major computer
4120. networks remain vulnerable to computer
4121. viruses that are capable of crippling
4122. communications and stopping the nation's
4123. telecommunications infrastructure dead
4124. in its tracks.
4125.   Rep. Edward Markey (D-Mass.), chairman
4126. of the House telecommunications
4127. subcommittee, told a hearing earlier
4128. this week that federal legislation may
4129. be needed to ease the threats posed by
4130. computer viruses.
4131.   "The risk and fear of computer-based
4132. sabotage must be reduced to an
4133. acceptable level before we can
4134. reasonably expect our national networks
4135. to accomplish the purposes for which
4136. they were created," Markey said during a
4137. hearing Wednesday on the new
4138. congressional study.
4139.   "We must develop policies that ensure
4140. (network's) secure operation and the
4141. individuals' rights to privacy as
4142. computer network technologies and
4143. applications proliferate," he added.
4144.   The report by the General Accounting
4145. Office examined last year's virus attack
4146. that shut down the massive Internet
4147. system, which links 60,000 university,
4148. government and industry research
4149. computers.
4150.   The GAO found that Internet and other
4151. similar systems remain open to attack
4152. with much more serious results than the
4153. temporary shutdown experienced by
4154. Internet.
4155.   The GAO warned that the Internet
4156. virus, a "worm" which recopied itself
4157. until it exhausted all of the systems
4158. available memory, was relatively mild
4159. compared to other more destructive
4160. viruses.
4161.   "A few changes to the virus program
4162. could have resulted in widespread damage
4163. and compromise," the GAO report said.
4164.   "With a slightly enhanced program, the
4165. virus could have erased files on
4166. infected computers or remained
4167. undetected for weeks, surreptitiously
4168. changing information on computer files,"
4169. the report continued.
4170.   The GAO recommended the president's
4171. science advisor and the Office of
4172. Science and Technology Policy should
4173. take the lead in developing new security
4174. for Internet.
4175.   In addition, the report said Congress
4176. should consider changes to the Computer
4177. Fraud and Abuse Act of 1986, or the Wire
4178. Fraud Act, to make it easier to bring
4179. charges against computer saboteurs.
4180.   Joining in sounding the alarm at the
4181. hearing was John Landry, executive vice
4182. president of Cullinet Software of
4183. Westwood, Mass., who spoke on behalf of
4184. ADAPSO.
4185.   "The range of threats posed by
4186. viruses, worms and their kin is limited
4187. only by the destructive imagination of
4188. their authors," Landry said. "Existing
4189. computer security systems often provide
4190. only minimal protection against a
4191. determined attack."
4192.   Landry agreed the Internet attack
4193. could have been much worse. He said
4194. viruses have been found that can modify
4195. data and corrupt information in
4196. computers by means as simple as moving
4197. decimal points one place to the left or
4198. right.
4199.   One recently discovered virus, he
4200. said, can increase disk access speed,
4201. resulting in the wearing out of disk
4202. drives. They also have been linked to
4203. "embezzlement, fraud, industrial
4204. espionage and, more recently,
4205. international political espionage," he
4206. said.
4207.   "Virus attacks can be life
4208. threatening," Landry said, citing a
4209. recent attack on a computer used to
4210. control a medical experiment. "The risk
4211. of loss of life resulting from
4212. infections of airline traffic control or
4213. nuclear plant monitoring systems is
4214. easily imaginable," he said.
4215.   Landry said ADAPSO endorses the
4216. congressional drive toward tightening
4217. existing law to ensure that computer
4218. viruses are covered along with other
4219. computer abuses.
4220.   --J. Scott Orr
4221.  
4222.  
4223.  
4224. GLOSSARY OF VIRUS-RELATED TERMS
4225.  
4226.   (July 21)
4227.   Until last year's computer virus
4228. attack on the massive Internet network
4229. made headlines, computer sabotage
4230. attracted little attention outside
4231. computer and telecommunications circles.
4232.   Today "computer virus" has become a
4233. blanket term covering a wide range of
4234. software threats.
4235.   ADAPSO, the computer software and
4236. services industry association, believes
4237. the term has been thrown around a little
4238. too loosely. Here, then, is ADAPSO's
4239. computer virus glossary:
4240.   -:- COMPUTER VIRUS, a computer program
4241. that attaches itself to a legitimate,
4242. executable program, then reproduces
4243. itself when the program is run.
4244.   -:- TROJAN HORSE, a piece of
4245. unauthorized code hidden within a
4246. legitimate program that, like a virus,
4247. may execute immediately or be linked to
4248. a certain time or event. A trojan horse,
4249. however, does not self-replicate.
4250.   -:- WORM, an infection that enters a
4251. computer system, typically through a
4252. security loophole, and searches for idle
4253. computer memory. As in the Internet
4254. case, the worm recopies itself to use up
4255. available memory.
4256.   -:- TRAPDOOR, a program written to
4257. provide future access to computer
4258. systems. These are typical entryways for
4259. worms.
4260.   -:- TIME BOMB, a set of computer
4261. instructions entered into a system or
4262. piece of software that are designed to
4263. go off at a predetermined time. April
4264. Fool's Day and Friday the 13th have been
4265. popular times for time bomb's to go off.
4266.   -:- LOGIC BOMB, similar to a time
4267. bomb, but linked instead to a certain
4268. event, such as the execution of a
4269. particular sequence of commands.
4270.   -:- CHAOS CLUB, a West German
4271. organization that some have alleged was
4272. formed to wreak havoc on computer
4273. systems through the use of viruses and
4274. their kin.
4275.   --J. Scott Orr
4276.  
4277.  
4278. ONLINE TODAY'S BACKGROUNDER: COMPUTER
4279. "VIRUS," PART FIVE
4280.  
4281.   (Editor's note: Computer "viruses" --
4282. self-propagating programs that spread
4283. from one machine to another and from one
4284. disk to another -- have been very much
4285. in the news. This file contains
4286. virus-related stories carried by Online
4287. Today's electronic edition beginning on
4288. July 31, 1989, the first time word was
4289. received of the so-called "Datacrime" or
4290. "Columbus Day virus.")
4291.  
4292.  
4293. RESEARCHER UNCOVERS OCT. 12 VIRUS
4294.  
4295.   (July 31)
4296.   An official with a British firm that
4297. markets anti-virus software says the
4298. company has uncovered a new virus called
4299. "Datacrime" is set to attack MS-DOS
4300. systems starting Oct. 12.
4301.   Dr. Jan Hruska of Sophos UK tells
4302. Computergram International the virus
4303. apparently appends itself to .COM
4304. (command) files on MS-DOS systems.
4305.   "Operating on a trigger mechanism," CI
4306. says, "the virus reformats track 0 of
4307. the hard disk on or after Oct. 12. It
4308. has no year check and so will remain
4309. active from Oct. 12 onwards destroying
4310. or losing programs and data."
4311.   Hruska told the publication this is a
4312. relatively new virus and that its
4313. encrypted form reveals its name
4314. ("Datacrime") and its date of release,
4315. last March 1.
4316.   Sophos markets a program called
4317. Vaccine version 4 designed to detect
4318. known viruses.
4319.   --
4320.  
4321.  
4322.  
4323. NIST FORMS COMPUTER SECURITY NETWORK
4324.  
4325.   (Aug. 3)
4326.   The National Institute of Standards
4327. and Technology is working with other
4328. federal agencies to establish a
4329. government-wide information network on
4330. security incidents and issues, reports
4331. Government Computer News.
4332.   Organized by NIST's Computer Security
4333. Division, the network would supply the
4334. latest information to agencies on
4335. security threats, develop a program to
4336. report and assess security incidents as
4337. well as offer assistance.
4338.   Dennis Steinauer, evaluation group
4339. manager of the Computer Security
4340. Division, said the plan is a response to
4341. the communications problems federal
4342. agencies suffered during last November's
4343. worm attack on Internet by Cornell
4344. University graduate student Robert T.
4345. Morris Jr.
4346.   In addition to NIST, the departments
4347. of Energy, Justice and Transportation as
4348. well as the National Science Foundation
4349. and NASA are participating in the
4350. project, which calls for each agency to
4351. organize a security incident response
4352. and resource center.
4353.   NIST's network would connect the
4354. centers electronically, allowing them to
4355. communicate with one another. Steinauer
4356. said he wants to set up a master
4357. database of contacts, phone numbers and
4358. fax numbers to ensure communications.
4359.   One aspect of the plan calls for each
4360. center to become expert in some specific
4361. area of the technology, such as personal
4362. computers, local area networks or
4363. multiuser hosts.
4364.   "The answer is not some monolithic,
4365. centralized command center for
4366. government," Steinauer told GCN. 
4367. "Problems occur in specific user or
4368. technology communities, and we see the
4369. solutions evolving where the reaction is
4370. by people who know the user community
4371. and the environment."
4372.   He explained that the Computer
4373. Security Act has helped increase
4374. security awareness within the
4375. government, but the emergence of
4376. computer viruses, worms and other
4377. sophisticated threats has demonstrated
4378. the need for more advanced security
4379. tools.
4380.   -- Cathryn Conroy
4381.  
4382.  
4383. AUSTRALIAN CHARGED WITH CRACKING
4384.  
4385.   (Aug. 14)
4386.   Australia is reporting its first
4387. computer cracking arrest. A Melbourne
4388. student is charged with computer
4389. trespass and attempted criminal damage.
4390.   Authorities allege 32-year-old Deon
4391. Barylak was seen loading a personal
4392. computer with a disk that was later
4393. found to possess a computer virus.
4394.   "Fortunately, it was stopped before it
4395. could spread, which is why the charge
4396. was only attempted criminal damage,"
4397. senior detective Maurice Lynn told Gavin
4398. Atkins for a report in Newsbytes News
4399. Service.
4400.   The wire service said Barylak could
4401. face a maximum of 100 years' jail and a
4402. fine.
4403.   Also police expect to make further
4404. arrests in connection with the case.
4405. Authorities said Barylak also faces
4406. charges of possessing computer equipment
4407. allegedly stolen from a community
4408. center.
4409.   --
4410.  
4411.  
4412. INTERNET VIRUS BACK?
4413.  
4414.   (Sept. 4)
4415.   Apparently, neither the threat of
4416. criminal sanctions nor the hazards of
4417. investigation by the FBI is enough to
4418. keep the Internet computer
4419. communications network secure from
4420. intrusion. The Department of Defense
4421. agency responsible for monitoring
4422. Internet security has issued a warning
4423. that unauthorized system activity
4424. recently has been detected at a number
4425. of sites.
4426.   The Computer Emergency Response Team
4427. (CERT) says that the activity has been
4428. evident for some months and that
4429. security on some networked computers may
4430. have been compromised.  In a warning
4431. broadcast to the Internet, CERT says
4432. that the problem is spreading.
4433.   Internet first came to general
4434. attention when a came to much of the
4435. computing communities attention when a
4436. 23-year-old Cornell University student
4437. was said to be responsible for inserting
4438. a software "worm" into the network.  The
4439. Department of Defense's Advanced Project
4440. Agency network (ARPANET) also was
4441. infected and CERT was formed to
4442. safeguard networks used or accessed by
4443. DoD emplyees and contractors.
4444.   In its warning about recent
4445. intrusions, CERT says that several
4446. computers have had their network
4447. communications programs replaced with
4448. hacked versions that surreptitiously
4449. capture passwords used on remote
4450. systems.
4451.   "It appears that access has been
4452. gained to many of the machines which
4453. have appeared in some of these session
4454. logs," says a broadcast CERT warning.
4455. "As a first step, frequent telnet
4456. [communications program] users should
4457. change their passwords immediately. 
4458. While there is no cause for panic, there
4459. are a number of things that system
4460. administrators can do to detect whether
4461. the security on their machines has been
4462. compromised using this approach and to
4463. tighten security on their systems where
4464. necessary."
4465.   CERT went on to suggest a number of
4466. steps that could be taken to verify the
4467. authenticity of existing programs on any
4468. individual UNIX computer.  Among those
4469. was a suggestion to reload programs from
4470. original installation media.
4471.   --
4472.  
4473.  
4474. AIR FORCE WARNS ITS BASES OF POSSIBLE
4475. "COLUMBUS DAY VIRUS"
4476.  
4477.   (Sept. 10)
4478.   The US Air Force has warned its bases
4479. across the country about a possible
4480. computer virus reportedly set to strike
4481. MS-DOS systems Oct. 12.
4482.   Warning of the so-called "Columbus Day
4483. virus" was issued by the Air Force
4484. Communications Command at Scott Air
4485. Force Base, Ill., at the request of the
4486. Office of Special Investigations.
4487.   OSI spokesman Sgt. Mike Grinnell in
4488. Washington, D.C., told David Tortorano
4489. of United Press International the
4490. advisory was issued so computer
4491. operators could guard against the
4492. alleged virus. "We're warning the
4493. military about this," Grinnell said,
4494. "but anybody that uses MS-DOS systems
4495. can be affected."
4496.   As reported here July 31, Dr. Jan
4497. Hruska, an official with a British firm
4498. called Sophos UK, which markets
4499. anti-virus software, said his company
4500. had uncovered a new virus called
4501. "Datacrime." Hruska told Computergram
4502. International at the time that the virus
4503. apparently appends itself to .COM
4504. (command) files on MS-DOS systems.
4505.   Said CI, "Operating on a trigger
4506. mechanism, the virus reformats track 0
4507. of the hard disk on or after Oct. 12. It
4508. has no year check and so will remain
4509. active from Oct. 12 onwards destroying
4510. or losing programs and data." Hruska
4511. told the publication this was a
4512. relatively new virus and that its
4513. encrypted form revealed its name
4514. ("Datacrime") and its date of release,
4515. last March 1.
4516.   Meanwhile, Air Force spokeswoman Lynn
4517. Helmintoller at Hurlburt Field near Fort
4518. Walton Beach, Fla., told UPI that
4519. computer operators there had been
4520. directed to begin making backup copies
4521. of files on floppy disks just in case.
4522. She said the warning was received at the
4523. base Aug. 28.
4524.   Staff Sgt. Carl Shogren, in charge of
4525. the small computer technology center at
4526. Hurlburt, told Tortorano no classified
4527. data would be affected by the possible
4528. virus attack because the disks used for
4529. classified work are different from those
4530. that might be struck.
4531.   UPI quoted officials at Scott Air
4532. Force Base as saying the warning was
4533. sent to every base with a communications
4534. command unit, but that they did not know
4535. how many bases were involved.
4536.   --
4537.  
4538.  
4539. COMPUTER VIRUSES PLAGUE CONGRESS
4540.  
4541.   (Sept. 11)
4542.   Although Congress recently passed the
4543. Computer Security Act to force federal
4544. agencies to guard against high-tech
4545. break- ins and computer viruses, the
4546. legislators may soon realize they made a
4547. costly mistake. The law applies to all
4548. federal agencies -- except Congress
4549. itself.  And according to Government
4550. Computer News, Capitol Hill has been the
4551. victim of several recent virus attacks.
4552.   One virus, for instance, emerged about
4553. a year ago in the Apple Macintosh
4554. computers of several House offices
4555. causing unexplained system crashes.  A
4556. steep bill of some $100,000 was incurred
4557. before experts were confident the
4558. plague, now known as Scores, was
4559. stopped. However, it does still lurk in
4560. the depths of the computers, notes GCN,
4561. causing occasional malfunctions.
4562.   Dave Gaydos, Congress' computer
4563. security manager, says the sources of
4564. many viruses may never be known, since
4565. some 10,000 programmers are capable of
4566. producing them.
4567.   Capitol Hill legislators and staff
4568. members are only now becoming aware of
4569. the potential danger of viruses as more
4570. offices are exploring ways to connect
4571. with online database services and with
4572. each other through local area networks.
4573.   GCN reports that last February, a
4574. California congressional office was the
4575. victim of a virus, caught while using a
4576. so-called vaccine program meant to
4577. detect intruders into the system.
4578.   "I used to laugh about viruses," said
4579. Dewayne Basnett, a systems specialist on
4580. Capitol Hill.  "But now when you ask me
4581. about them, I get very angry.  I think
4582. of all the time and effort expended to
4583. repair the damage they do."
4584.   According to GCN, many of the 3,000
4585. House employees with computers are
4586. ignorant of the risks and unable to take
4587. basic precautions. Although various
4588. computer specialists are trying to
4589. inform Hill users of computer security
4590. issues and offer training sessions,
4591. there is no broad support from the
4592. legislators themselves for such actions.
4593.   "We are working to alert people to the
4594. dangers," said Gaydos, "but it may take
4595. an incident like a destructive virus to
4596. move [Congress] to take precautions."
4597.   -- Cathryn Conroy
4598.  
4599.  
4600.  
4601. VIRUS HITS AUSTRALIA
4602.  
4603.   (Sept. 12)
4604.   Australian authorities are said to be
4605. confused about the origin of a supposed
4606. computer virus that has been making the
4607. rounds of computer installations in the
4608. South Pacific.  An Australian newspaper,
4609. The Dominion, says that sensitive data
4610. in Defense Department computers has been
4611. destroyed by the virus.
4612.   Dubbed the Marijuana virus because of
4613. the pro-drug message that is displayed
4614. before any data is erased, it is thought
4615. that the misbehaving bug originated in
4616. New Zealand.  Some have even suggested
4617. that the program was purposely
4618. introduced into Australian Defense
4619. computers by agents of New Zealand, a
4620. contention that a Defense Department
4621. spokesman branded as "irresponsible." 
4622. The two South Pacific nations have had
4623. strong disagreements about defense
4624. matters, including recent joint
4625. maneuvers in the area by Australian and
4626. US forces.
4627.   A more likely explanation for the
4628. intrusion into Defense computers is the
4629. likelihood that Australian security
4630. specialists were examining the virus
4631. when they inadvertently released it into
4632. their own security system. The Marijuana
4633. virus is known to have been infecting
4634. computers in the country for at least
4635. three months and its only known
4636. appearance in government computers
4637. occurred in a Defense sub-department
4638. responsible for the investigation and
4639. prevention of computer viruses.
4640.   --
4641.  
4642.  
4643.  
4644. VIRUS THREAT ABSURDLY OVERBLOWN, SAY
4645. EXPERTS
4646.  
4647.   (Sept. 18)
4648.   The so-called "Columbus Day Virus"
4649. purportedly set to destructively attack
4650. MS-DOS computers on Oct. 13 has computer
4651. users -- including the US military --
4652. scampering to protect their machines. 
4653. But according to The Washington Post,
4654. the threat is absurdly overblown with
4655. less than 10 verified sightings of the
4656. virus in a country with tens of millions
4657. of computers.
4658.   "At this point, the panic seems to
4659. have been more destructive than any
4660. virus itself," said Kenneth R. Van Wyk,
4661. a security specialist at Carnegie-Mellon
4662. University's Software Engineering
4663. Institute, who has been taking some 20
4664. phone calls daily from callers seeking
4665. advice on the subject.
4666.   Bill Vance, director of secure systems
4667. for IBM Corp., told The Post, "If it was
4668. out there in any number, it would be
4669. spreading and be more noticeable."
4670.   He predicted Oct. 13 is not likely to
4671. be "a major event."
4672.   As reported in Online Today, this
4673. latest virus goes by several names,
4674. including Datacrime, Friday the 13th and
4675. Columbus Day.  It lies dormant and
4676. unnoticed in the computer until Oct. 13
4677. and then activates when the user turns
4678. on the machine. Appending itself to .COM
4679. (command) files, the virus will
4680. apparently reformats track 0 of the hard
4681. disk.
4682.   The Post notes that the federal
4683. government views viruses as a grave
4684. threat to the nation's information
4685. systems and has set in motion special
4686. programs to guard computers against them
4687. and to punish those who introduce them.
4688.   Centel Federal Systems in Reston, Va.,
4689. a subsidiary of Centel Corp. of Chicago,
4690. is taking the threat seriously,
4691. operating a toll-free hotline staff by
4692. six full-time staff members.  More than
4693. 1,000 calls have already been received.
4694.   Tom Patterson, senior analyst for
4695. Centel's security operations, began
4696. working on the virus five weeks ago
4697. after receiving a tip from an
4698. acquaintance in Europe.  He said he has
4699. dissected a version of it and found it
4700. can penetrate a number of software
4701. products designed to keep viruses out.
4702.   Patterson told The Post that he found
4703. the virus on one of the machines of a
4704. Centel client. "The virus is out there.
4705. It's real," he said.
4706.   Of course, where there's trouble,
4707. there's also a way to make money. "The
4708. more panicked people get," said Jude
4709. Franklin, general manager of Planning
4710. Research Corp.'s technology division,
4711. "the more people who have solutions are
4712. going to make money."
4713.   For $25 Centel is selling software
4714. that searches for the virus. Patterson
4715. said, however, the company is losing
4716. money on the product and that the fee
4717. only covers the cost of the disk,
4718. shipping and handling. "I'm not trying
4719. to hype this," he said. "I'm working
4720. 20-hour days to get the word out."
4721.   -- Cathryn Conroy
4722.  
4723.  
4724.  
4725. SICK SOFTWARE INFECTS 100 HOSPITALS
4726. NATIONWIDE
4727.  
4728.   (Sept. 20)
4729.   When a hospital bookkeeping computer
4730. program could not figure out yesterday's
4731. date, some 100 hospitals around the
4732. country were forced to abandon their
4733. computers and turn to pen and paper for
4734. major bookkeeping and patient admissions
4735. functions, reports The Washington Post.
4736.   Although there was no permanent loss
4737. of data or threat to treatment of
4738. patients, the hospital accounting
4739. departments found themselves at the
4740. mercy of a software bug that caused
4741. major disruptions in the usual methods
4742. of doing business.
4743.   The incident affected hospitals using
4744. a program provided by Shared Medical
4745. Systems Corp. of Pennsylvania. The firm
4746. stores and processes information for
4747. hospitals on its own mainframe computers
4748. and provides software that is used on
4749. IBM Corp. equipment.
4750.   According to The Post, the program
4751. allows hospitals to automate the
4752. ordering and reporting of laboratory
4753. tests, but a glitch in the software
4754. would not recognize the date Sept. 19,
4755. 1989 and "went into a loop" refusing to
4756. function properly, explained A. Scott
4757. Holmes, spokesman for Shared Medical
4758. Systems.
4759.   The firm dubbed the bug a "birth
4760. defect" as opposed to a "virus," since
4761. it was an accidental fault put into the
4762. program in its early days that later
4763. threatened the system's health.
4764.   At the affected hospitals around the
4765. country, patients were admitted with pen
4766. and paper applications.  Hospital
4767. administrators admitted the process was
4768. slower and caused some delay in
4769. admissions, but patient care was never
4770. compromised.
4771.   -- Cathryn Conroy
4772.  
4773.  
4774. ARMY TO BEGIN VIRUS RESEARCH
4775.  
4776.   (Sept. 21)
4777.   Viruses seem to be on the mind of
4778. virtually every department administrator
4779. in the federal government, and the US
4780. Army is no exception.  The Department of
4781. the Army says it will begin funding for
4782. basic research to safeguard against the
4783. presence of computer viruses in
4784. computerized weapons systems.
4785.   The Army says it will fund three
4786. primary areas of research: computer
4787. security, virus detection and the
4788. development of anti-viral products.
4789. Research awards will be made to US
4790. businesses who are eligible to
4791. participate in the Small Business
4792. Innovation Research (SBIR) program.
4793.   The Army program, scheduled to begin
4794. in fiscal year 1990, is at least
4795. partially the result of Congressional
4796. pressure.  For some months,
4797. Congressional staffers have been
4798. soliciting comments about viruses and
4799. their potential effect on the readiness
4800. of the US defense computers.
4801.   Small businesses who would like to bid
4802. on the viral research project may obtain
4803. a copy of Program Solicitation 90.1 from
4804. the Defense Technical Information Center
4805. at 800/368-5211.
4806.   --
4807.  
4808.  
4809.  
4810. SO-CALLED "DATACRIME" VIRUS REPORTED ON
4811. DANISH POSTGIRO NET
4812.  
4813.   (Sept. 22)
4814.   The so-called "Datacrime" virus, said
4815. to be aimed at MS-DOS system next month,
4816. reportedly has turned up on the Danish
4817. Postgiro network, a system of 260
4818. personal computers described as the
4819. largest such network in Scandinavia.
4820.   Computergram International, the
4821. British newsletter that first reported
4822. the existence of the Datacrime virus
4823. back in July, says, ""Twenty specialists
4824. are now having to check 200,000 floppy
4825. disks to make sure that they are free
4826. from the virus."
4827.   Datacrime is said to attach itself to
4828. the MS-DOS .COM files and reformats
4829. track zero of the hard disk, effectively
4830. erasing it. However, as reported, some
4831. experts are saying the threat of the
4832. virus is absurdly overblown, that there
4833. have been fewer than 10 verified
4834. sightings of the virus in a country with
4835. tens of millions of computers.
4836.   --
4837.  
4838.  
4839.  
4840.   In a rare move, IBM says it is
4841. releasing a program to check for
4842. personal computer viruses in response,
4843. in part, to customer worries about a
4844. possible attack next week from the
4845. so-called "Datacrime" virus.
4846.   "Up until the recent press hype, our
4847. customers had not expressed any
4848. tremendous interest (in viruses) over
4849. and above what we already do in terms of
4850. security products and awareness," Art
4851. Gilbert, IBM's manager of secure systems
4852. industry support, told business writer
4853. Peter Coy of The Associated Press.
4854.   However, reports of a "Datacrime"
4855. virus, rumored to be set to strike
4856. MS-DOS systems, have caused what Coy
4857. describes as "widespread alarm," even as
4858. many experts say the virus is rare and a
4859. relatively small number of PCs are
4860. likely to be harmed.
4861.   IBM says it is releasing its Virus
4862. Scanning Program for MS-DOS systems that
4863. can spot three strains of the Datacrime
4864. virus as well as more common viruses
4865. that go by names such as the Jerusalem,
4866. Lehigh, Bouncing Ball, Cascade and
4867. Brain.
4868.   The $35 program is available directly
4869. from IBM or from dealers, marketing
4870. representatives and remarketers and,
4871. according to Gilbert, will detect but
4872. not eradicate viruses. Gilbert added
4873. that installing a virus checker is not a
4874. substitute for safe-computing practices
4875. such as making backup copies of programs
4876. and data and being cautious about
4877. software of unknown origin.
4878.   Meanwhile, virus experts speaking with
4879. Coy generally praised IBM's actions.
4880.   "It's about time one of the big boys
4881. realized what a problem this is and did
4882. something about it," said Ross
4883. Greenberg, a New York consultant and
4884. author of Flu-Shot Plus. "To date, all
4885. the anti-virus activity is being done by
4886. the mom and pops out there."
4887.   In addition, Pamela Kane, president of
4888. Panda Systems in Wilmington, Del., and
4889. author of a new book, "Virus
4890. Protection," called the move "a very
4891. important and responsible step."
4892.   As noted, experts are differing widely
4893. over whether there is truly a threat
4894. from the Datacrime virus. The alleged
4895. virus -- also dubbed The Columbus Day
4896. virus, because it reportedly is timed to
4897. begin working on and after Oct. 12 --
4898. supposedly cripples MS-DOS- based hard
4899. disks by wiping out the directory's
4900. partition table and file allocation
4901. table.
4902.   Besides the IBM virus scanning
4903. software, a number of public domain and
4904. shareware efforts have been contributed
4905. online, collected on CompuServe by the
4906. IBM Systems/Utilities Forum (GO IBMSYS).
4907. For more details, visit the forum, see
4908. Library 0 and BROwse files with the
4909. keyword of VIRUS (as in BRO/KEY:VIRUS).
4910.   --
4911.  
4912.  
4913.  
4914. DUTCH COMPUTERISTS FEAR 'DATACRIME'
4915. VIRUS
4916.  
4917.   (Oct. 7)
4918.   The "Datacrime"/Columbus Day virus,
4919. which is being widely down-played in the
4920. US, may be much more common in the
4921. Netherlands. A Dutch newspaper reported
4922. this week the virus had spread to 10
4923. percent of the personal computers there.
4924.   "Those figures are possibly inflated,"
4925. police spokesman Rob Brons of the Hague
4926. told The Associated Press. Nonetheless,
4927. police are doing brisk business with an
4928. antidote to fight the alleged virus.
4929. Brons said his department has sold
4930. "hundreds" of $2.35 floppy disks with a
4931. program that purportedly detects and
4932. destroys the virus.
4933.   As reported, Datacrime has been
4934. described as a virus set to destroy data
4935. in MS-DOS systems on or after Oct. 12.
4936. AP notes that in the US there have been
4937. fewer than a dozen confirmed sightings
4938. of the dormant virus by experts who
4939. disassembled it.
4940.   The wire service also quotes Joe
4941. Hirst, a British expert on viruses, as
4942. saying some now believe the virus was
4943. created by an unidentified Austrian
4944. computerist. He added that as far as he
4945. knew the Netherlands was the only
4946. European country in which the virus had
4947. been spotted.
4948.   --
4949.  
4950.  
4951.  
4952.  
4953. BY JOVE, THAT'S IT! DATACRIME VIRUS IS
4954. THE VIKINGS' REVENGE
4955.  
4956.   (Oct. 10)
4957.   Computergram International has a
4958. tongue-in-cheek theory on the origin of
4959. that nasty Datacrime virus which is said
4960. to be poised to strike MS-DOS computers
4961. this week.
4962.   "The latest," the British computer
4963. journal reports in today's edition, "is
4964. that it may have been planted by a
4965. Norwegian: the theory is that as it is
4966. set to destroy data on Columbus Day a
4967. diehard Norwegian, convinced that the
4968. Vikings discovered the American
4969. continent first, is taking revenge."
4970.   Nonetheless, the newsletter adds,
4971. "Computergram prefers the idea that it
4972. is all the work of the Sioux."
4973.   --
4974.  
4975.  
4976.  
4977. AT&T AND IBM WARN STAFF ABOUT DATACRIME
4978. VIRUS
4979.  
4980.   (Oct. 11)
4981.   Although industry experts say the
4982. so-called Datacrime virus set to invade
4983. MS-DOS systems on Friday, Oct. 13 is not
4984. that great a threat, major corporations
4985. are taking it quite seriously.
4986.   According to Reuter, several companies
4987. are advising their employees to protect
4988. their computer systems.
4989.   AT&T Co. and IBM Corp. have issued
4990. internal memos warning staff members
4991. about the virus.
4992.   "We are taking the virus threat
4993. seriously," said an AT&T Bell
4994. Laboratories spokesman.
4995.   AT&T has specifically asked employees
4996. not use software from unknown sources
4997. and to back up data, while IBM has
4998. instructed staff members to use the
4999. company's anti-viral software introduced
5000. last week and to make copies of their
5001. data.
5002.   "It's very, very rare but very
5003. destructive," said Russell Brand, chief
5004. technical advisor at Lawrence Livermore
5005. Laboratories in Livermore, Calif.
5006.   Brand has examined the virus in an
5007. infected computer and says that unlike
5008. most viruses that allow the data to be
5009. put back together, Datacrime has the
5010. ability to wipe out a complete hard
5011. disk.
5012.   Brand told Reuter that there are about
5013. 77 different viruses in circulation now.
5014.   "People are worried about viruses,
5015. especially those that rely on their
5016. PCs," said Michael Riemer, executive
5017. vice president of Foundationware Inc., a
5018. consulting firm in Cleveland. "But what
5019. viruses have done is forced people to
5020. look at security and system management
5021. in place."
5022.   Mike Odawa, president of the Software
5023. Development Council, told Reuter that he
5024. does not anticipate any big problems
5025. caused by Datacrime.  "I think Friday
5026. the 13th will come and everyone will be
5027. disappointed by it," he said.
5028.   -- Cathryn Conroy
5029.  
5030.  
5031. GOVERNMENT EMPLOYEES WARNED ABOUT
5032. DATACRIME VIRUS
5033.  
5034.   (Oct. 11)
5035.   The National Institute of Standards
5036. and Technology is warning federal
5037. agencies to be on guard against the
5038. Datacrime virus, supposedly set to
5039. attack MS-DOS computers this week.
5040.   According to Government Computer News,
5041. NIST has issued the first governmentwide
5042. guide on computer viruses in an attempt
5043. to make security an integral part of any
5044. computer course and to include computer
5045. viruses in agencies' risk analyses and
5046. contingency plans.
5047.   "With the widespread use of personal
5048. computers that lack effective security
5049. mechanisms, it is relatively easy for
5050. knowledgeable users to author malicious
5051. software and then dupe unsuspecting
5052. users into copying it," says the guide,
5053. which is titled Computer Viruses and
5054. Related Threats: A Management Guide.
5055.   Ronald Shoupe, automation group leader
5056. for NASA's Goddard Space Flight Center,
5057. told GCN he found a virus contamination
5058. that strongly resembles Datacrime. The
5059. virus was on a machine Shoupe keeps
5060. separated from others for virus
5061. detection.  He said the nature of the
5062. virus is a mystery to him, since it
5063. activates by itself.
5064.   "I've never seen anything that
5065. triggered by itself.  I don't know of a
5066. way for a file to self-activate unless
5067. it perhaps does something to the boot
5068. track," he explained.
5069.   Shoupe said this was the only
5070. occurrence of the Datacrime virus in
5071. government computers of which he is
5072. aware.  "We're watching but treating it
5073. as a rumor rather than a fact.  We've
5074. alerted the computer security officers.
5075. We're trying not to broadcast this too
5076. much," he admitted.
5077.   Richard Carr, computer security
5078. program manager for NASA, said alerting
5079. users to the danger only serves to
5080. spread more rumors and give would-be
5081. vandals ideas they might not otherwise
5082. have.
5083.   "If we publicize some of the unfounded
5084. rumors, some of the crazies out there
5085. might try to make this a self-fulfilling
5086. prophecy.  We can't let these people
5087. know what protective measures we have. 
5088. It's a tough call to make," said Carr.
5089.   He admitted that the ramifications of
5090. a computer virus attack at NASA would be
5091. enormous.  One concern is the upcoming
5092. launch of the next space shuttle early
5093. next week.
5094.   NIST officials are urging government
5095. employees to back up their hard disks
5096. and consider using virus detection
5097. utilities.
5098.   -- Cathryn Conroy
5099.  
5100.  
5101.  
5102. ANTI-VIRUS PUBLISHER GIVES TIPS FOR
5103. VIRUS DETECTION AND REMOVAL
5104.  
5105.   (Oct. 11)
5106.   You say you've done nothing special to
5107. protect your computer and now the news
5108. media keeps saying the viruses are
5109. coming (...The Viruses Are Coming!) So,
5110. what now?
5111.   Don't panic, says Cleveland- based
5112. FoundationWare Inc., developer of the
5113. Certus anti-virus security system.
5114. You're probably going to come through it
5115. just fine.
5116.   Saying the computing community needs
5117. to meet the "current virus hysteria from
5118. a calm, logical and pragmatic business
5119. perspective," FoundationWare released an
5120. extensive statement today that provides
5121. specific tips for detecting and removing
5122. the so- called Datacrime and Friday the
5123. 13th viruses, alleged to be set to
5124. activate in MS-DOS computers starting
5125. tomorrow.
5126.   But also FoundationWare urged
5127. computerists not to over-react to the
5128. current virus fears.
5129.   "The truth is that viruses are not as
5130. common as widely believed," the
5131. statement said. "If you have not already
5132. taken action to protect yourself ... do
5133. not worry about them now. Prepare
5134. yourself and your employees should one
5135. of your machines go down by having (data
5136. only) backups available."
5137.   The software publisher also criticized
5138. one-time, "quick fix" search programs
5139. that look for blocks of code known to be
5140. part of a specific virus, saying such
5141. programs have inherently limited
5142. capabilities.
5143.   "It's like buying a home security
5144. system that protects against blond-hair
5145. blue-eyed people," said FoundationWare
5146. Vice President Michael Riemer, who is
5147. also chairman of the Software Publishers
5148. Association's security special interest
5149. group. "You won't be protected if a
5150. bald, brown-eyed person breaks into your
5151. house."
5152.   Riemer suggested the computing public
5153. needs to begin addressing viruses by
5154. taking "a more global perspective,"
5155. adding that such an approach would
5156. include:
5157.  
5158.   1. Regular data back-up.
5159.   2. Not backing-up data and programs on
5160. the same diskettes.
5161.   3. Educating users on the threat of
5162. malicious software.
5163.   4. Determining and implementing
5164. appropriate integrity checking, security
5165. and management mechanisms.
5166.  
5167.     Regarding the Datacrime and Friday
5168. the 13th viruses, the FoundationWare
5169. report suggested that users look for
5170. unexplained increases in file size, "a
5171. telltale sign of most virus infections."
5172.   The company also noted the users could
5173. determine if a disk has been infected by
5174. using the MS-DOS DEBUG utility to scan
5175. executable files in the following
5176. manner:
5177.  
5178.     A. For the Datacrime virus (also
5179. called "Columbus Day" virus), use DEBUG
5180. to scan .COM files for the Hexadecimal
5181. codes EB00B4OECD21B4, AND/OR,
5182. 00568DB43005CD21. If the codes are
5183. present, the system is infected, the
5184. company said.
5185.   B. For the Friday the 13th Virus (also
5186. called the Israeli virus), use DEBUG to
5187. scan .EXE and .COM files for the
5188. Hexadecimal codes 2EFF0E1F00,
5189. E992000000, AND/OR 7355524956.
5190.  
5191.     The company also made a number of
5192. suggestions for removing viruses,
5193. (though it acknowledged the methods
5194. aren't foolproof nor recommended as "a
5195. complete solution" for fighting these or
5196. future viruses). The suggestions are:
5197.   -:- Never attempt to remove or isolate
5198. a virus from a currently active
5199. computer. Instead, boot from a clean
5200. original and write-protected DOS floppy
5201. disk.
5202.   -:- On a local area network, first
5203. check network operating system files on
5204. local drives before logging onto the
5205. network. Isolate LAN/PCs, so that there
5206. are no active users beside you.
5207.   -:- If you think you have the Friday
5208. the 13th or Datacrime virus (which are
5209. keyed to specific days), give yourself
5210. some extra time before they activate by
5211. simply changing your system time/date to
5212. an earlier date, such as January 15,
5213. 1989.
5214.   -:- To create a clean system, boot
5215. your computer from an original,
5216. write-protected DOS floppy disk and run
5217. your backup program (from your original
5218. write-protected floppy source) and
5219. back-up only your data (not your
5220. programs). Perform a low-level and DOS
5221. FORMAT using programs from the original
5222. write- protected distribution disks (not
5223. from your hard disk), then reinstall the
5224. software from original write-protected
5225. disks and restore the "data-only"
5226. backup.
5227.   -:- If you isolate a virus which is
5228. present in your system's boot track or
5229. partition table (this will not be either
5230. the Datacrime or Jerusalem virus), you
5231. have other options. You should boot from
5232. a write-protected original DOS floppy
5233. disk and run a disk utility program that
5234. can replace the partition table. (Note:
5235. be sure the operator is very familiar
5236. with such a program before using it).
5237.   -:- If you believe that a virus is in
5238. the boot track (IO.SYS, MSDOS.SYS) or
5239. the operating system (COMMAND.COM), you
5240. can take still other measures. Boot from
5241. a write-protected original DOS floppy
5242. disk and run the "SYS C:" command from
5243. the clean floppy disk which then
5244. replaces IO.SYS and MSDOS.SYS files. You
5245. should then type "DEL COMMAND.COM" and
5246. replace it with a clean copy of
5247. COMMAND.COM from the A: drive.
5248.   Finally, speaking of viruses in
5249. general, the FoundationWare statement
5250. notes that if you suspect your system is
5251. infected, you should delete all
5252. suspected files (that is, all .EXE and
5253. .COM program files) and those found to
5254. contain a virus and then replace the
5255. questionable software with "trusted
5256. copies" from the original
5257. write-protected distribution disks.
5258.   Also, the report notes, "It has been
5259. suggested that using standard DOS DEL,
5260. ERASE or COPY may in some instances not
5261. be enough to remove the infected program
5262. (though for these two viruses DELETE and
5263. ERASE are adequate). It is recommended
5264. that you use a program which actually
5265. writes over (the) program area to
5266. completely eradicate infected files."
5267.   --
5268.  
5269.  
5270.  
5271. VIRUSES STRIKE IN EUROPE
5272.  
5273.   (Oct. 13)
5274.   As many predicted all along, the
5275. computer viruses that struck today on
5276. this Friday the 13th didn't mean the end
5277. of computing as we know it. Still, the
5278. day also was not completely free of
5279. system vandalism caused by the rogue
5280. programs.
5281.   While confirmed virus attacks appear
5282. to have been few and minor in the United
5283. States, more serious incidents occurred
5284. in Europe, with virus-related computer
5285. problems reported in Great Britain, the
5286. Netherlands, Portugal, France and
5287. Switzerland.
5288.   As noted earlier, the computing
5289. community was bracing itself for a
5290. double-whammy of virus assaults this
5291. week, from the so-called
5292. Datacrime/Columbus Day virus starting
5293. yesterday and from the Friday the
5294. 13th/Jerusalem virus today.
5295.   In the US, at least one CompuServe
5296. subscriber reported a virus incident.
5297. Writing on the message board of the IBM
5298. Systems/Utilities Forum (GO IBMSYS), Tom
5299. Ohlson told his fellow forum members
5300. that a friend of his in Staten Island,
5301. N.Y., had used a copy of an anti- virus
5302. program called SCAN40, downloaded
5303. earlier from the forum, to locate the
5304. Datacrime virus. Ohlson said the friend
5305. had traced the virus to a copy of a game
5306. program that was passed around on a
5307. floppy disk.
5308.   Elsewhere in New York, security
5309. specialist Ross M. Greenberg, creator of
5310. Flu-Shot Plus and Virex-PC anti-viral
5311. software, told The Associated Press that
5312. by midmorning he had received seven
5313. reports of virus strikes since midnight,
5314. but that only one was the Columbus Day
5315. virus.
5316.   Greenberg reported that a dozen PCs at
5317. Columbia University in New York City
5318. were affected, but that the university
5319. had made backup files, so the virus was
5320. merely an inconvenience.
5321.   The other six virus reports concerned
5322. what he called the "PLO virus," an older
5323. virus designed to erase programs every
5324. Friday the 13th. Greenberg said earlier
5325. the PLO virus was far more widespread
5326. and likely would cause more trouble
5327. today than newer viruses.
5328.   Meanwhile, in Urbana, Ill., Michael
5329. Harper, a staff person at the University
5330. of Illinois' Micro Resource Center, told
5331. United Press International a virus was
5332. detected in some of the campus's 1,000
5333. terminals, but that the university was
5334. able to treat the computers before it
5335. did any damage. "We're definitely
5336. breathing easier," Harper said.
5337.   He said a virus was introduced on
5338. campus by a piece of software used for
5339. inputting scientific data. The
5340. university now has a installed an
5341. anti-virus warning program.
5342.  
5343.     And now, from assorted wire
5344. dispatches, here are virus incidents
5345. reported elsewhere in the world today:
5346.  
5347.     -:- Great Britain:
5348.  
5349.     In perhaps the worst virus assault
5350. of the day, computers at London's Royal
5351. National Institution for the Blind were
5352. infected by what experts are saying was
5353. a previously known virus.
5354.   "We found that most of our program
5355. files are gone," Corri Barrett of the
5356. institute told reporters. "Every time we
5357. try to look at a new program file it
5358. vanishes in front of our eyes. It's
5359. horrendous. Months and months of work
5360. has been wiped out here."
5361.   Barrett told a BBC-TV interviewer the
5362. virus might have contaminated disks
5363. distributed to blind clients and that
5364. their systems had been infected.
5365.  
5366.     -:- The Netherlands:
5367.  
5368.     In the Netherlands, where the first
5369. alert of the so-called Datacrime virus
5370. was given last summer, a unit set up to
5371. hunt viruses said it had been flooded
5372. with telephone calls from panicked users
5373. today. Many told the officials they had
5374. "lost everything, all their data stored
5375. in memory and all their programs,"
5376. according to a spokesman.
5377.   At the social affairs ministry, a
5378. spokesman said yesterday the Datacrime
5379. virus had been isolated and destroyed
5380. "on several occasions" in recent days.
5381.   Also, Amsterdam university managed to
5382. kill the Datacrime virus in time to save
5383. its data, an official told Dutch
5384. television yesterday.
5385.   In addition, the "Jerusalem" virus,
5386. detected four times in the microcomputer
5387. network of the Dutch rail company, was
5388. rooted out before today, when it was
5389. still dormant, a spokesman said.
5390.  
5391.     -:- Portugal:
5392.  
5393.     In Lisbon, at least two infected
5394. computers flashed ominous warning
5395. messages across their screens,
5396. triggering panic among users.
5397.   The first, the "Friday the 13th"
5398. virus, cropped up in the computer system
5399. of a bank. The second, said to be of a
5400. strain dubbed "Pakistan," attacked
5401. computers at a medium-size company. In
5402. both cases, the viruses were
5403. neutralized, a spokesman for a
5404. Portuguese computer association said.
5405.  
5406.     -:- France:
5407.  
5408.     Daniel Dutil, in charge of a special
5409. unit set up to search and destroy the
5410. viruses, said that fewer than one
5411. percent of that nation's PCs were
5412. contaminated, adding, "It's a normal
5413. situation, if you take into account that
5414. viruses are always found in computer
5415. programs."
5416.   Dutil said some 2,000 computer
5417. programs had come under the harsh
5418. scrutiny of his unit, dubbed the
5419. anti-viral platform, since it opened its
5420. campaign to wipe out the viruses on
5421. Tuesday. He said that whenever viruses
5422. were programmed to awaken from their
5423. dormant state and activate themselves on
5424. symbolic dates such as January 1, April
5425. 1 or July 14, there was usually only
5426. "slight virus activity similar to that
5427. observed today."
5428.   Meanwhile, Guy Hervier, an
5429. administration official at the
5430. University of Nice in southern France,
5431. said yesterday a virus scheduled to
5432. activate today was discovered in the
5433. university's computer lab in June but
5434. was easily detected and destroyed.
5435.  
5436.     -:- Switzerland:
5437.  
5438.     Bernhard Schmid, head of the federal
5439. personal computer team, said several
5440. dozen of the government's 3,500 personal
5441. computers were found to have been
5442. carrying a virus. However, experts
5443. managed to cancel and reprogram all
5444. infected systems. He said infected
5445. programs had been found in a wide range
5446. of administrative branches.
5447.     --
5448.  
5449.  
5450. VIRUS EXPERTS CITE PREPAREDNESS,
5451. EXAGGERATION, BUSINESS SILENCE
5452.  
5453.   (Oct. 14)
5454.   On the morning after, some computer
5455. experts today were saying yesterday's
5456. reported low incidence of virus assaults
5457. was due to the exaggeration of the
5458. threat all along, while others were
5459. crediting the computing community's
5460. preparedness due to early warnings.
5461.   Meanwhile, another observer said the
5462. number of virus attacks actually may
5463. have been greater than we realize,
5464. because many corporate users are
5465. reluctant to publicize computer security
5466. violations at their businesses.
5467.   Wes Thomas, editor of a new electronic
5468. newsletter called Virus Alert, told The
5469. Associated Press his group received 50
5470. unconfirmed reports of virus outbreaks
5471. worldwide and that a headquarters was
5472. set up in San Francisco to study the
5473. cases.
5474.   "There's a lot of false positives,"
5475. Thomas said. "We are attempting to form
5476. a center for disease control for
5477. computer viruses so we can centralize
5478. information and find out what's going
5479. on." Thomas said he helped spread the
5480. word about the so- called Columbus Day
5481. or Datacrime virus after attending an
5482. August meeting in Amsterdam where the
5483. rogue program was discussed.
5484.   Actually, most of the reported virus
5485. attacks over the past two days seemed to
5486. have been the work, not of Datacrime,
5487. but of the older Friday the 13th or
5488. Jerusalem virus that was first
5489. discovered at Hebrew University in
5490. December 1987.
5491.   Experts disagree, but one report is
5492. that there now are about 30 different
5493. computer virus strains making the
5494. rounds.
5495.   Fred Cohen, an independent researcher
5496. in Pittsburgh who is credited with
5497. exposing the first computer virus in
5498. 1983, told AP he believes this week's
5499. outbreaks were kept down because
5500. computer users took proper precautions.
5501. "Everybody was looking for it."
5502.   However, Cohen also cautioned, "This
5503. is a long-term sort of threat. It's like
5504. biological warfare."
5505.   Speaking with the Reuter Financial
5506. News Service, John McAfee, chairman of
5507. the Computer Virus Industry Association,
5508. said he saw no rise yesterday in
5509. reported computer virus problems, which
5510. he said usually number 30 to 40 a day.
5511.   Elsewhere, Winn Schwartau, president
5512. of American Computer Security Industries
5513. Inc., told Reuter he had been informed
5514. of 25 outbreaks of the Friday the 13th
5515. version this week at organizations
5516. ranging from universities to banks.
5517.   "It's not Armageddon -- it's not going
5518. to all come at once crashing down around
5519. us," he said, but he added the impact
5520. actually could last for months as new
5521. strains develop.
5522.   He said the customer base of his
5523. company, which was started five years
5524. ago, has increased 50 to 100 times in
5525. the past 30 days because of fear of the
5526. viruses after rumors began spreading in
5527. late August.
5528.   He also said accurate virus reports
5529. are difficult to gauge, because most
5530. companies consider the damage to be
5531. confidential information.
5532.   "Major corporations don't want the
5533. publicity," Schwartau said.
5534.   --
5535.  
5536.  
5537. ONLINE TODAY'S BACKGROUNDER: COMPUTER
5538. "VIRUS," PART SIX
5539.  
5540.   (Editor's note: Computer "viruses" --
5541. self-propagating programs that spread
5542. from one machine to another and from one
5543. disk to another -- have been very much
5544. in the news. This file contains
5545. virus-related stories carried by Online
5546. Today's electronic edition beginning in
5547. late October 1989.)
5548.  
5549.  
5550. VIRUS DESTROYS DATA IN TOKYO
5551.  
5552.   (Oct. 30)
5553.   An official at the University of Tokyo
5554. has confirmed a computer virus has
5555. caused at least minor damage to some
5556. research information at the school.
5557.   A representative of the university's
5558. Ocean Research Institute has told The
5559. Associated Press the virus was detected
5560. earlier this month in four or five of
5561. the center's 100 computers, but was
5562. believed to have first infected the
5563. computers last month.
5564.   The official who requested anonymity
5565. told the wire service the virus was
5566. found only in personal computers being
5567. used by researchers, and not major
5568. computer systems, adding the damage was
5569. not serious.
5570.   The source declined to give further
5571. details, but AP says the Japan
5572. Broadcasting Corp. has reported a virus
5573. also had been found in computers at the
5574. university's Earthquake Research
5575. Institute. That report said the virus
5576. was the most sophisticated yet detected
5577. in Japan, where the problem is not
5578. widespread.
5579.   --
5580.  
5581.  
5582.  
5583. 10 PERCENT OF CHINESE COMPUTERS STRUCK
5584. BY VIRUSES, NEWSPAPER SAYS
5585.  
5586.   (Nov. 5)
5587.   A newspaper in Beijing reports 10
5588. percent of China's some 300,000
5589. computers have been struck by computer
5590. viruses.
5591.   The Xinhua Chinese news service quotes
5592. a report yesterday in the China Daily as
5593. saying three types of viruses have been
5594. found so far, called "small ball,"
5595. "marijuana" and "the shell." The paper
5596. says universities and statistical
5597. bureaus have been particularly hard hit
5598. by the viruses.
5599.   Reporting on a computer security
5600. conference in the southwest city of
5601. Kunming, the English-language daily
5602. quoted Yang Zhihui, deputy chief of the
5603. Ministry of Public Security's computer
5604. security department, as saying, "We have
5605. already worked out some vaccination and
5606. sterilization programs for the virus."
5607.   Yang said the wide variety of
5608. computers in use in China -- both
5609. foreign and domestic -- makes it hard
5610. for a sweeping sterilization campaign to
5611. be carried out.
5612.   The newspaper said the estimate that
5613. one in 10 Chinese system have been virus
5614. victims was reached by the Ministry of
5615. Public Security following a survey last
5616. August. The paper did not say how many,
5617. if any, computers in China were struck
5618. by the well- publicized "Friday the
5619. 13th"/"Datacrime" viruses last month.
5620.   However, regarding the "small ball"
5621. virus -- which reportedly was found in
5622. statistical bureaus in 21 provincial,
5623. municipal and regional offices -- the
5624. paper gave this description of an
5625. attack:
5626.   "A computer was doing its word
5627. processing, the cursor blinking brightly
5628. on the screen. Suddenly, a jumping white
5629. ball appeared. Then a second one and a
5630. third. Slowly the screen was full of
5631. them. Operation stopped." The paper said
5632. the "small ball" virus can slow down or
5633. halt computer operation, but it does not
5634. appear to affect memory.
5635.   --
5636.  
5637.  
5638. CONGRESS URGED TO BE CAUTIOUS IN
5639. WEIGHING ANTI-VIRUS/WORM LAWS
5640.  
5641.   (Nov. 8)
5642.   The president of the Computer and
5643. Business Equipment Manufacturers
5644. Association says Congress should be
5645. cautious in making laws to fight
5646. computer viruses, because, "Like the
5647. swine flu vaccine of the 1970s, these
5648. anti-virus bills could end up doing more
5649. harm than good."
5650.   In remarks prepared for a hearing of
5651. the House Judiciary subcommittee on
5652. criminal justice, John L. Pickitt added,
5653. "Outlawing some of the programming
5654. techniques used to create computer
5655. viruses might prevent the use of similar
5656. programs for beneficial purposes,
5657. including countering a virus."
5658.   Associated Press writer Barton Reppert
5659. notes Pickitt, whose Washington-based
5660. trade association represents companies
5661. with combined sales of more than $230
5662. billion, aimed his criticism at three
5663. anti-virus bills, including those
5664. sponsored by Reps. Wally Herger,
5665. R-Calif., C. Thomas McMillen, D-Md., and
5666. Edward J. Markey, D-Mass.
5667.   "The same sharing techniques which
5668. make computer networks vulnerable to
5669. virus attack can also be responsible for
5670. breakthroughs in electronics and
5671. telecommunications technology," Pickitt
5672. said. "While Congress may wish to clean
5673. up some of the language in the current
5674. laws ... we urge Congress to act
5675. cautiously in considering new criminal
5676. statutes to deal with computer viruses."
5677.   Of bills currently under
5678. consideration, Reppert observed:
5679.   -:- Herger's measure would impose
5680. penalties of up to 20 years in prison on
5681. people convicted of "interfering with
5682. the operations of computers through the
5683. use of programs containing hidden
5684. commands that can cause harm."
5685.   -:- The McMillen bill seeks to punish
5686. anyone who "willfully and knowingly
5687. sabotages the proper operation of a
5688. computer hardware system or the
5689. associated software."
5690.   -:- Markey's proposal is to make the
5691. introduction of a virus into an
5692. interstate electronic network a federal
5693. crime.
5694.   --
5695.  
5696.  
5697.  
5698. CONGRESS HEARS TESTIMONY ON THE COST OF
5699. VIRUS ATTACKS
5700.  
5701.   (Nov. 9)
5702.   A computer security official with the
5703. EDP Auditors Association has estimated
5704. for Congress that "hundreds of
5705. thousands" of computer virus attacks
5706. have occurred in recent years on the
5707. systems of American corporations and the
5708. government.
5709.   However, most attacks go unreported,
5710. said specialist Carolyn Conn, "because
5711. there is not a high expectation of
5712. successful prosecution." Also, she said,
5713. "Organizations do not want to publicize
5714. their vulnerabilities when seemingly
5715. there is little or no benefit" from
5716. public disclosure.
5717.   Associated Press writer Barton
5718. Reppert, covering Conn's appearance
5719. yesterday afternoon before the House
5720. Judiciary subcommittee on criminal
5721. justice, quoted her as testifying that
5722. the costs of viruses are "staggering."
5723.   Said Conn, "Viruses have cost
5724. corporations, government agencies and
5725. educational institutions millions of
5726. dollars to prevent, detect and recover
5727. from computer virus attacks."
5728.   Conn, whose Illinois-based EDP
5729. Auditors Association represents some
5730. 9,000 electronic data processing
5731. professionals across the country, made
5732. her estimate of the number of virus
5733. attacks in response to questions by the
5734. congressional subcommittee.
5735.   Reppert reports the panel chairman,
5736. Rep. Charles E. Schumer, D-N.Y., asked
5737. her for a estimate of the overall number
5738. of virus attacks that have occurred in
5739. recent years. "Is it tens, is it
5740. hundreds, is it thousands?" he asked.
5741.   Ms. Conn replied, "I think probably in
5742. the hundreds of thousands."
5743.   --
5744.  
5745.  
5746.  
5747. BAR ASSOCIATION FEARS LOOPHOLES IN
5748. EXISTING VIRUS/WORM LAWS
5749.  
5750.   (Nov. 13)
5751.   The chairman of the American Bar
5752. Association's task force on computer
5753. crime has told a House subcommittee he
5754. is concerned about loopholes in existing
5755. laws that cover computer viruses, worms
5756. and similar rogue programs.
5757.   "There are clearly some types of
5758. computer virus activity that would be
5759. beyond the terms of the current
5760. statute," Joseph B. Tompkins Jr.
5761. testified recently before the House
5762. Judiciary subcommittee on criminal
5763. justice.
5764.   Associated Press writer Barton Reppert
5765. reports Tompkins and other witnesses
5766. posed several questions about activities
5767. that they said might fall through the
5768. cracks of ambiguous federal laws, such
5769. as:
5770.   -:- If a renegade programmer sends a
5771. program containing a hidden virus to a
5772. computer bulletin board system, can he
5773. or she then be prosecuted for harm that
5774. results when other BBS users transfer
5775. the software into their own systems?
5776.   -:- Can virus/worm authors be
5777. successfully prosecuted if they claim
5778. they really didn't have any malicious
5779. intent, but instead were merely trying
5780. to pull off an innocent prank or aiming
5781. to demonstrate existing weaknesses in
5782. security?
5783.   Witnesses said that under current
5784. federal law, the answer to both
5785. questions is "maybe."
5786.   Tompkins said the Computer Fraud and
5787. Abuse Act of 1986 -- which makes it a
5788. federal crime to "intentionally access a
5789. federal interest computer without
5790. authorization and alter, destroy or
5791. damage information in such computer or
5792. prevent authorized access to such
5793. computer if such conduct causes the loss
5794. of $1,000 or more during any one-year
5795. period" -- is not clear enough.
5796.   For instance, he testified, "The
5797. statute does not in clear terms cover
5798. the intentional implantation of a
5799. computer virus in a computer which one
5800. is authorized to access, even if the
5801. perpetrator clearly intended harm or the
5802. virus in fact caused significant harm."
5803.   He said the law also has been attacked
5804. as unconstitutionally vague. "While
5805. these arguments are probably overstated,
5806. clarifying the statute might prevent
5807. such arguments from being raised and
5808. might encourage prosecutors to make more
5809. frequent use of the statute," Tompkins
5810. said.
5811.   --
5812.  
5813.  
5814.  
5815.  
5816. `CONDOMS' FOR DISKS MAKE GAG GIFT
5817.  
5818.   (Nov. 27)
5819.   In Christmases past, gag gifts for
5820. computerists have ranged from chocolate
5821. disks to empty "vaporware" packages.
5822. This year.... well... A Fremont, Neb.,
5823. firm called Tekservices Inc. has
5824. announced "Safedisk," a product
5825. described as a "poly floppy disk
5826. condom."
5827.   The Associated Press notes word of
5828. Safedisk spread recently after TV
5829. talk-show host Arsenio Hall tittered
5830. about it on his late- night program.
5831.   Stephen Nabity -- the 33-year- old
5832. "Dr. Safedisk" -- told AP he got the
5833. idea while watching a news broadcast
5834. about a predicted outbreak of computer
5835. viruses earlier this autumn.
5836.   "It came to me that people should
5837. practice safe whatever-they-do," Nabity
5838. said. "A lot of computer viruses were
5839. going around."
5840.   He acknowledged his product doesn't
5841. actually protect against viruses, but he
5842. hopes that, at $7.95, it will be
5843. considered a possible stocking-stuffer
5844. for computer buffs.
5845.   --
5846.  
5847.  
5848.  
5849.  
5850. COMPANY OFFERS VIRUS INSURANCE
5851.  
5852.   (Dec. 2)
5853.   Allstate Insurance Co. may be the
5854. first insurer to reimburse customers who
5855. encounter the destruction of programs
5856. and data caused by computer viruses.
5857. Currently, the company offers
5858. inexpensive riders to its homeowners and
5859. renters insurance to cover other types
5860. of damage to personal computers.
5861.   The new virus coverage is included at
5862. no additional cost for customers who
5863. currently have in effect a Standard
5864. Electronic Data Protection Policy.  The
5865. data protection policy was originally
5866. designed for owners of small 
5867. businesses.
5868.   Though existing virus protection
5869. insurance carries a $100,000 limit,
5870. higher amounts are available at an
5871. additional cost.  No claims have yet
5872. been filed on any of the policies
5873. currently in force.
5874.   Until recently, Safeware was the only
5875. mass-market insurer with a large base of
5876. policies issued to owners of personal
5877. computers.  The company specializes in
5878. insuring computer equipment against 
5879. theft, natural disasters and accidental
5880. damage.  It does not pay for damages
5881. caused by electrical problems or
5882. viruses.
5883.   --
5884.  
5885.  
5886.  
5887. BRITISH GROUP WARNS OF POSSIBLE TROJAN
5888. HORSE IN AIDS INFO DISK
5889.  
5890.   (Dec. 13)
5891.   In London, the chairman of a PC users
5892. group is warning computer users to avoid
5893. a mailed floppy disk that purports to
5894. give information about AIDS. He says the
5895. disk might contain a "Trojan horse"
5896. sabotage program.
5897.   Speaking with The Associated Press,
5898. Dr. Alan Solomon, who leads the IBM
5899. Personal Computer Users Group, said
5900. several thousand of the disks -- called
5901. "The AIDS Information Introductory
5902. Diskette" -- have been mailed to
5903. computer users.
5904.   Solomon, who also heads a British
5905. company called S and S which specializes
5906. in the examination of computer viruses,
5907. said users' addresses may have been
5908. taken from computer magazines. He said
5909. the full effect of the suspected Trojan
5910. horse program are not yet known.
5911.   He told AP he received one of the
5912. disks in the mail on Monday bearing a
5913. Panama postal box address. He said he
5914. feared more could arrive in the mail
5915. this week.
5916.   Said Solomon, "There is no urgent
5917. panic in the short term but if (the
5918. disk) has already been installed I would
5919. advise (computer users) to seek urgent
5920. help because it is a nasty thing." He
5921. commented that few experienced computer
5922. users would risk installing an
5923. unsolicited disk without first checking
5924. it, but that some less experienced users
5925. might.
5926.   AP says a letter accompanying the disk
5927. asks for payment of $189 for one type of
5928. license and $378 for another.
5929.   --
5930.  
5931.  
5932. VANDALIZED AIDS INFORMATION DISK WORRIES
5933. COMPUTERISTS WORLDWIDE
5934.  
5935.   (Dec. 14)
5936.   Word out of London of an apparently
5937. vandalized computer diskette has caused
5938. concerns among AIDS researchers around
5939. the world and now has prompted one
5940. computer virus expert to call the
5941. incident a "well-orchestrated and
5942. undeniably well-financed terrorist act."
5943.   As reported here, Chairman Alan
5944. Solomon of London's IBM Personal
5945. Computer Users Group was first to sound
5946. a warning to computer users to avoid a
5947. mailed floppy disk called "The AIDS
5948. Information Introductory Diskette,"
5949. because, he said, the software might
5950. contain a "Trojan horse" sabotage
5951. program that destroys data.
5952.   Since that announcement, there have
5953. been these developments, according to
5954. The Associated Press in Britain and in
5955. the US:
5956.   -:- London's Scotland Yard issued a
5957. warning to banks, hospitals,
5958. universities and other institutions to
5959. be on guard against the disk.
5960. Investigators there say the disks have
5961. destroyed information in at least 10
5962. computers.
5963.   -:- Among those reported to have
5964. received the disks are the London Stock
5965. Exchange, British Telecommunications
5966. PLC, which runs most of the nation's
5967. phone network, the Midland Bank, Lloyds
5968. Bank, the Australia and New Zealand Bank
5969. in London, as well as universities,
5970. hospitals and public health
5971. laboratories.
5972.   -:- The British newspaper The Guardian
5973. reports computer systems in hospitals
5974. are among those damaged. It said the
5975. disks also turned up in California,
5976. Belgium and Zimbabwe but gave no
5977. details.
5978.   -:- The British domestic news agency
5979. Press Association quotes an unnamed
5980. Health Education Authority spokesman as
5981. saying a contact in Norway also received
5982. a disk.
5983.   -:- In the US, the Rand Corp., which
5984. has 15 people working on acquired immune
5985. deficiency syndrome research, has warned
5986. its employees. Ann Shoben, a spokeswoman
5987. for the Santa Monica, Calif., research
5988. firm, told AP, "We're safe. We have not
5989. been hit. The concern is for others that
5990. use personal computers and those who
5991. work on AIDS research might pick up this
5992. program and have their databases
5993. destroyed."
5994.   -:- Also in the US, Chase Manhattan
5995. Bank reportedly was one of the first to
5996. report problems with the software.
5997.   As reported yesterday, several
5998. thousand disks were believed to have
5999. been mailed to London area computer
6000. users. Officials there say users'
6001. addresses may have been taken from
6002. computer magazines. Now the UK police
6003. say many of the disks were mailed in
6004. London's South Kensington district.
6005.   A letter accompanying the disk asks
6006. for payment of $189 for one type of
6007. license and $378 for another. The letter
6008. warns that if the money is not paid, the
6009. sender will use program mechanisms to
6010. stop a computer functioning normally.
6011. Also, the program carries this ominous
6012. advisory: "Warning: Do not use these
6013. programs unless you are prepared to pay
6014. for them."
6015.   Joe Hirst, former technical editor of
6016. Virus Bulletin and a consultant on
6017. computer software, told AP's Michael
6018. West in London there are two programs on
6019. the disk.
6020.   "The first," Hirst said, "is an
6021. installation program and the second is a
6022. questionnaire on the risk of AIDS which
6023. will not run unless it is installed on a
6024. hard disk. It then prints off an invoice
6025. for a company in Panama, but the damage
6026. has already been done by the
6027. installation."
6028.   Apparently, that Panama company is
6029. bogus. The London Guardian newspaper
6030. quotes the letter as saying the money
6031. demanded should be sent to "PC Cyborg
6032. Corporation" at a box number in Panama.
6033. However, neither the corporation nor the
6034. box number -- 87-17-44 -- exists.
6035.   (The Guardian adds that the American
6036. computer software company called Cyborg
6037. Systems and its British subsidiary sent
6038. warnings to customers yesterday that it
6039. was not involved in this incident.)
6040.   AP's West said computer companies in
6041. UK believe addresses for receiving the
6042. disks were obtained from PC Business
6043. World, a British weekly trade paper on
6044. computing. Police say PC Business World
6045. sold its 700-name mailing list in good
6046. faith to someone claiming he wanted to
6047. publicize the export of computers to
6048. Nigeria.
6049.   Another London newspaper, The
6050. Independent, reports the list was bought
6051. for about $1,300 by a Kenyan businessman
6052. identified as "E. Ketema."
6053.   Says the paper, "Mr. Ketema had taken
6054. out a short-term subscription with The
6055. Business Center in New Bond Street,
6056. London, to receive mail and telephone
6057. messages on his behalf while he was in
6058. the country from Oct. 31 to Nov. 30. He
6059. described himself as an accountant, but
6060. the center does not know his first name,
6061. nor does it have a forwarding address."
6062.   Meanwhile, in the US, the Rand Corp.
6063. said it warned its employees of the disk
6064. after receiving an advisory from
6065. computer virus expert John McAfee.
6066.   McAfee, chairman of the Computer Virus
6067. Industry Association of Santa Clara,
6068. Calif., told AP writer Louinn Lota it is
6069. unusual for his group to issue such a
6070. blanket warning against a particular
6071. disk, but because he has received calls
6072. from PC users around the world, he
6073. believes the threat is real.
6074.   "This is not a hoax," McAfee said.
6075. "This is not a simple case of a hacker
6076. in a back bedroom somewhere. It is a
6077. well orchestrated and undeniably well
6078. financed terrorist act. Few groups or
6079. individuals can afford to waste hundreds
6080. of thousands of dollars to bring harm to
6081. a party and bring nothing in return."
6082.   He said he believes the topic of AIDS
6083. was used by the creator of the damaging
6084. program because many computer users are
6085. likely curious about the disease. People
6086. are encouraged to use the disk because
6087. it is advertised as being able to
6088. predict the chances a person has of
6089. contracting AIDS, he said.
6090.   "Unlike an accounting program," McAfee
6091. added, "this is a subject everyone is
6092. aware of and virtually all people will
6093. want to learn more about risks of having
6094. AIDS."
6095.   --
6096.  
6097.  
6098.  
6099. MICROCOM BUYS ANTI-VIRUS COMPANY
6100.  
6101.   (Dec. 26)
6102.   For undisclosed terms, software
6103. publisher Microcom Inc. has acquired HJC
6104. Software Inc., a Durham, N.C., firm that
6105. markets programs for detecting and
6106. eliminating viruses in Apple Macintosh
6107. systems.
6108.   In a statement from Norwood, Mass.,
6109. Microcom says the virus software product
6110. line -- called Virex -- will be
6111. integrated with its own Carbon Copy Plus
6112. and Relay Gold communications packages.
6113.   Microcom President/CEO James M. Dow
6114. said the Virex products "are a key
6115. addition to our strategy of providing
6116. comprehensive network administration and
6117. management tools for the end user."
6118.   Dow noted that because of the large
6119. number of users sharing files, PCs and
6120. their networks "have been especially
6121. vulnerable to viruses." He said the
6122. Virex product line "will substantially
6123. reduce the likelihood of catastrophic
6124. failure for many PC and PC network
6125. users."
6126.   --
6127.  
6128.  
6129. From 1990 files:
6130.  
6131. NEWSBYTES COMPUTER HIT BY VIRUS
6132.  
6133.   (Jan. 2)
6134.   Newsbytes News Service reports the
6135. Apple Macintosh SE/30 used at its San
6136. Francisco headquarters was infected just
6137. before Christmas by what the editor
6138. describes as one of the faster-
6139. spreading computer viruses on record,
6140. called WDEF A and WDEF B.
6141.   "Before the problem was pinpointed,"
6142. editor Wendy Woods reports, "the virus
6143. had spread to every unlocked floppy disk
6144. and hard disk in use."
6145.   Woods quotes John Norstad of
6146. Northwestern University as saying the
6147. virus that struck Newsbytes was
6148. discovered in early December by
6149. programmers in Belgium. Since then, he
6150. said, it has spread throughout the US in
6151. the past few weeks and now is reported
6152. at "virtually every major university."
6153.   The WDEF virus is said to cause Mac
6154. windows to close, icons to fail to
6155. appear, files to be listed as "locked,"
6156. system error messages to flash on the
6157. screen and applications to crash and
6158. sometimes causes the computer to fail to
6159. start at all.
6160.   Norstad -- author of Disinfectant, a
6161. free program that combats the virus --
6162. told Newsbytes that WDEF infects the
6163. invisible Desktop files used by the
6164. Mac's Finder. It does not infect
6165. applications, document files or other
6166. system files.
6167.   "Unlike the other viruses," Woods
6168. reported, "it is not spread through the
6169. sharing of applications, but rather
6170. through the sharing and distribution of
6171. disks, usually floppy disks."
6172.   Norstad says the virus can be removed
6173. easily: hold down the option and command
6174. keys until the complete desktop has
6175. appeared on screen; this procedure
6176. rebuilds the desktop and eradicates the
6177. virus, he said. Also, his free
6178. Disinfectant 1.5 now is appearing in the
6179. libraries of most major Macintosh
6180. services online.
6181.   According to Norstad, the virus
6182. doesn't intentionally do damage, but it
6183. can cause performance problems on
6184. Appleshare networks with Appleshare
6185. servers.
6186.   Newsbytes said there have been at
6187. least two reports that WDEF can damage
6188. disks. "The virus is known to create
6189. havoc at the Desktop level of a
6190. computer," the wire service said, "but
6191. also causes crashes when a file is saved
6192. under Multifinder. It causes problems
6193. with the proper display of font styles,
6194. the outline style in particular. When an
6195. infected disk is loaded into a Mac IIci
6196. or Portable, the computer will crash."
6197.  
6198.  
6199.  
6200.  
6201. Downloaded From P-80 International Information Systems 304-744-2253
6202.