home *** CD-ROM | disk | FTP | other *** search
/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.25 < prev    next >
Text File  |  1995-01-03  |  5KB  |  127 lines
  1. VIRUS-L Digest            Wednesday, 25 Jan 1989        Volume 2 : Issue 25
  2.  
  3. Today's Topics:
  4. Clarification on "Otto's principles"
  5. re: Checksum programs and Otto's principles
  6. Request for definition of worms and trojan horses.
  7. Friday the 13th worm at Digital Equipment Corp.
  8.  
  9. ---------------------------------------------------------------------------
  10.  
  11. Date:        25 January 89, 12:01:07 MEZ
  12. From:        Otto Stolz    <RZOTTO@DKNKURZ1.BITNET>
  13. Subject:     Clarification on "Otto's principles"
  14.  
  15. Yisrael Radai writes:
  16. > the propositions mentioned by Otto were stated much earlier
  17.  
  18. These propositions were never meant to be an original statement of
  19. mine.  Rather, I sent an answer to somebody having posted a
  20. virus-related question in the LIAISON list, and I thought this would
  21. be intersting to VIRUS-L subscribers, as an example how to present
  22. basic ideas to "the public".
  23.  
  24. Regrettably, I was not aware that the message-header (which would have
  25. revealed my intention) was bound to be stripped off during VIRUS-L's
  26. digesting process.  Hence, in similar cases, I'll have to prepare a
  27. separate copy of my note for VIRUS-L to include a suitable
  28. introductory statement.
  29.  
  30. Otto
  31.  
  32. ------------------------------
  33.  
  34. Date: 25 January 1989, 09:26:57 EST
  35. From: David M. Chess <CHESS@YKTVMV.BITNET>
  36. Subject:  re: Checksum programs and Otto's principles
  37.  
  38. Y. Radai's reply to me in v2n24 is largely well-taken.  I didn't mean
  39. to imply that the scheme I described was itself a perfect virus
  40. defense, although it probably sounded that way.  All I meant to
  41. suggest by the example is that there is *some* hope for anti-virus
  42. schemes in which it will do the virus writer little or no good to have
  43. the source of the anti-virus program, and that it will therefore not
  44. forever be the case that anti-virus efforts must depend on the
  45. ignorance of the virus authors.
  46.  
  47. Radai, if you're going to tell us about the "loopholes" anyway, why
  48. not just list them here, to give us something to think about while we
  49. await the finished paper?  (I have no particular advice about whether
  50. or not to reveal them, although I think it's unlikely that a decision
  51. by you not to talk about them would do much to keep the virus writers
  52. from discovering them!)
  53.  
  54. On "no mechanism can exist that cannot be infected": again, I think
  55. that's too strong ("never say never...").  A virus would have a hard
  56. time infecting a progra stored in ROM, for instance: if the ROM was
  57. clean when burned (and it's certainly possible to verify that), it'll
  58. stay that way, no?
  59.  
  60. In general, of course, it's a good idea to think about ways that a
  61. virus author could get around any particular anti-virus scheme.  But I
  62. don't think we'll *necessarily* see an unending escalation.
  63.  
  64. DC
  65.  
  66. ------------------------------
  67.  
  68. Date:     Wed, 25 Jan 89 11:35 EST
  69. From:     Cincinnati Bengals. <KUMMER@XAVIER.BITNET>
  70. Subject:  Request for definition of worms and trojan horses.
  71.  
  72.      Could anyone give me a definition of what a trojan horse and a
  73. worm is, and what makes these different from viruses?
  74.  
  75. Thanks
  76.  
  77. Tom Kummer
  78.  
  79. ------------------------------
  80.  
  81. Date: Wed, 25 Jan 89 14:40:34 est
  82. From: ubu!luken@lehi3b15.csee.lehigh.edu
  83. Subject: Friday the 13th worm at Digital Equipment Corp.
  84.  
  85. >From Digital News, January 23, 1989 issue (author Stephen Lawton):
  86.  
  87. "A late-night, Friday-the-13th worm that entered Digital Equipment
  88. Corp.'s internal Easynet network in Maynard, Mass., earlier this month
  89. bit off more than it could chew.  A systems manager spotted the
  90. abnormal activity 'virtually as it entered' and was able to segregate
  91. the infected system before the worm could spread, according to the
  92. company.
  93.  
  94. Spokeswoman Nikki Richardson said the infected system was disconnected
  95. immediately from the network while a vaccine program was developed and
  96. installed.  The system was returned to the network before employees
  97. arrived for work Monday morning, she said.
  98.  
  99. Unlike a virus, which replicates itself and destroys or modifies
  100. data, a worm only replicates itself.
  101.  
  102. Digital would not disclose what type of system was involved, although
  103. Richardson said she believes it was a VMS-based system, the
  104. predominant system on the network."
  105.  
  106. Interesting...  It's nice to hear that DEC was able to stop it before
  107. it caused any harm, I imagine that a congratulations is in order if
  108. the report is accurate.
  109.  
  110. The scary part about the report, in my opinion, is the definition of
  111. virus vs. worm; it's blatantly wrong.  In "Computer Viruses: Theory
  112. and Experiments" (Computers & Security 6 (1987) p. 22-35), Fred Cohen
  113. defined a virus as, "...a program that can 'infect' other programs by
  114. modifying them to include a possibly evolved version of itself."
  115. There's no mention of destroying or modifying data there.  In fact, in
  116. his dissertation, Dr. Cohen even used an example of a virus that could
  117. be worthwhile, a "compression virus" that would compress executable
  118. files on disk in order to save disk space.
  119.  
  120. Ken
  121.  
  122. ------------------------------
  123.  
  124. End of VIRUS-L Digest
  125. *********************
  126. Downloaded From P-80 International Information Systems 304-744-2253
  127.