home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.265

< prev

next >

Wrap

Text File  |  1995-01-03  |  23KB  |  518 lines

---

1. VIRUS-L Digest   Wednesday, 20 Dec 1989    Volume 2 : Issue 265
2.  
3. VIRUS-L is a moderated, digested mail forum for discussing computer
4. virus issues; comp.virus is a non-digested Usenet counterpart.
5. Discussions are not limited to any one hardware/software platform -
6. diversity is welcomed.  Contributions should be relevant, concise,
7. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
8. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
9. anti-virus, document, and back-issue archives is distributed
10. periodically on the list.  Administrative mail (comments, suggestions,
11. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
12.  - Ken van Wyk
13.  
14. Today's Topics:
15.  
16. Internet Worm Program
17. Legal Implications of the PC Cyborg Mailing
18. AIDS disk analogies (PC)
19. Re: WDef and Gatekeeper Aid.
20. Signature Programs
21. Gatekeeper and Gatekeeper Aid (Mac)
22. DES Availability
23. SWE HAS MOVED TO A NEW ADDRESS
24. Re: AIDS Trojan (PC)
25. Re: AIDS Trojan Update (PC)
26. Was AIDS disk legal?
27. AIDS Information Disk (PC)
28. Standard disclaimers and AIDS Trojan horse
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    Thu, 14 Dec 89 14:53:53 +0000
33. From:    mitel!sce!cognos!alzabo!tris@uunet.UU.NET (Tris Orendorff)
34. Subject: Internet Worm Program
35.  
36.         Internet Worm Update ...
37.  
38.         According to 2600 Magazine,
39.  
40.         If you want a copy of the source code (with comments), send $10
41.         to 2600 Worm, PO Box 752, Middle Island, NY 11953
42.  
43.                                 Sincerely Yours
44.                                 Tris Orendorff
45.                                 tris@alzabo.uucp
46.  
47.  
48. ------------------------------
49.  
50. Date:    Tue, 19 Dec 89 11:00:00 -0500
51. From:    Jim Shanesy <JSHANESY@NAS.BITNET>
52. Subject: Legal Implications of the PC Cyborg Mailing
53.  
54. Since it contained the greatest amount of information regarding
55. licensing, payment, what it purported to be, etc.  than the other
56. postings, I have sent Mr. McAfee's first alert re this Trojan Horse to
57. a dear friend, Paul R. Paletti, Jr., Esq.  of Handmaker, Citrynell &
58. Assoc. in Louisville, Ky.
59.  
60. Mr. Paletti is a licensed, practicing attorney-at-law who is also a
61. computer enthusiast.  He uses his PC in his work, downloading cases
62. from LEXIS via modem.
63.  
64. When he has time to read my fax, we'll confer by phone and I'll send
65. his opinions to this discussion list.  Since copyright and patent laws
66. are federal ones, he should be as qualified as anyone to assess the
67. legal ramifications of this catastrophe.
68.  
69. Jim Shanesy
70. Office of Computer and Information
71. Technology
72. National Research Council
73. 2101 Constitution Ave., NW
74. Washington, DC  20418
75. (202)-334-3219
76.  
77. ------------------------------
78.  
79. Date:    19 Dec 89 11:07:00 -0800
80. From:    MGB@SLACVM.BITNET
81. Subject: AIDS disk analogies (PC)
82.  
83. In reading the analogies pertaining to the AIDS Virus, I could not
84. help but be struck by some parallels between the computer virus and
85. the actual virus.  First, like AIDS, some people are struck down very
86. quickly while for others there is a long incubation process.  Second,
87. once you find out that you have it, you must be prepared to spend
88. large sums of money to combat it on a recurring basis.  Third, lots of
89. warnings are given about the virus, what will happen if you utilize
90. the disk (engage in risk behavior) but many people ignore these
91. warnings and are thus infected.  Fourth, the Virus comes from Africa,
92. the probable birthplace of the actual AIDS virus. Fifth, there is no
93. guarantee that paying your money will produce a cure, or that one cure
94. actually exists (tailoring vaccine to specific machines/people).
95. Sixth, the hysteria surrounding the VIRUS is both making people more
96. aware of viruses in general and prompting much research into finding a
97. way to decrypt the initiating factor.  Seventh, there seems to be more
98. we don't know about the Virus than we do know.  The initial effects
99. have been diagnosed and a remedy for the symptoms found but long term
100. effects are still unknown.
101.  
102. Perhaps I am seeing too much in this, but given the enormous outlay of
103. both time, energy and money that someone went through; perhaps the
104. perpetrators of this virus are attempting to give us all a non-lethal
105. lesson as to what the real virus AIDS is all about.  I am not
106. justifying their actions but I just can't help but wonder if that
107. lesson is what all this is all about.  It would, to me, clarify the
108. use of AIDS Information as the method of transmission.
109.  
110. Comments, anyone
111.  
112. ------------------------------
113.  
114. Date:    19 Dec 89 19:30:03 +0000
115. From:    coherent!dplatt@ames.arc.nasa.gov (Dave Platt)
116. Subject: Re: WDef and Gatekeeper Aid.
117.  
118. C0195@UNIVSCVM.BITNET (Gregory E. Gilbert) writes:
119. > I booted some Macs with Gatekeeper Aid installed this AM.  I was
120. > immediately presented with a rather sharp looking dialog announcing
121. > that the "Implied Loader ABDS" virus(?) was found and removed.
122. >
123. > Is this the Wdef virus?  If so, why not call it such AND what is an
124. > "Implied Loader ABDS".
125.  
126. The "ADBS" resource in the Desktop file is almost certainly not a virus.
127. Rather, it's the signature for the Adobe Separator application.
128.  
129. Unfortunately, "ADBS" is one of the resource-types that Apple has
130. reserved for its own use... per Inside Mac V, resources of this type
131. hold code which acts as an interface to the Apple Desktop Bus and its
132. devices (keyboard, mouse, etc.).  Because this resource-type can contain
133. executable code, Gatekeeper Aid considers that it shouldn't be in the
134. Desktop file.
135.  
136. I don't know how a commercial application ended up with a signature-
137. resource that's identical to one on Apple's list of reserved types.
138. there are several ways in which this could have happened... all of
139. which would appear to involve a bit of an oversight on someone's part.
140.  
141. Removing this particular resource from the Desktop file might have some
142. adverse effects on the Adobe Separator application.  In particular, I
143. might expect to see its documents revert to the generic icon, and you
144. might not be able to double-click on a Separator document and launch the
145. application.
146.  
147. I believe that Chris will be updating the documentation for Gatekeeper Aid
148. to warn of this problem.
149. - --
150. Dave Platt                                             VOICE: (415) 493-8805
151.   UUCP: ...!{ames,apple,uunet}!coherent!dplatt   DOMAIN: dplatt@coherent.com
152.   INTERNET:       coherent!dplatt@ames.arpa,  ...@uunet.uu.net
153.   USNAIL: Coherent Thought Inc.  3350 West Bayshore #205  Palo Alto CA 94303
154.  
155. ------------------------------
156.  
157. Date:    19 Dec 89 13:01:54 -0500
158. From:    Bob Bosen <71435.1777@CompuServe.COM>
159. Subject: Signature Programs
160.  
161. In his mailing of Dec 07 '89, Y. Radai seems to be taking the position
162. that since I am in favor of sophisticated authentication algorithms, I
163. must be against sophisticated program implementations. Nothing could
164. be further from the truth. A really reliable virus detection program
165. must have BOTH a trustworthy authentication algorithm and a
166. sophisticated implementation. I stressed the importance of
167. sophisticated authentication algorithms only because as a newcomer to
168. VIRUS-L, I was seeing a lot more discussion of implementation details
169. and scanner programs than of quality authentication techniques.
170.  
171. Please don't misinterpret me: PROGRAMS THAT PURPORT TO DEFEND AGAINST
172. VIRUSES MUST BE EXTREMELY CAREFULLY WRITTEN. In my view, they should
173. use the best and most sophisticated defenses available. Today, that
174. means authentication algorithms should be based on published standards
175. that have stood the test of time, such as ANSI X9.9. Obviously if a
176. clever virus writer is able to orchestrate a situation in which the
177. virus is never examined, then even a sophisticated authentication
178. algorithm is of no use.  What is needed is a well-written and
179. convenient program that applies a sophisticated authentication
180. algorithm across all program code without exception. Clearly this is
181. better than a well-written and convenient program that applies some
182. programmer's guess at an authentication algorithm across all program
183. code without exception!
184.  
185. The address where copies of ANSI X9.9 can be obtained didn't make it
186. into my last posting. Sorry about that. Copies of ANSI X9 standards
187. can be obtained through:
188.  
189. Secretariat: American Bankers Association
190.              Standards Department
191.              1120 Connecticut Avenue, N.W.
192.              Washington, D.C. 20036
193.  
194. I think the price is $15.00. I bet if you send a check and a mailing
195. label with your return address on it, you'll get quick response.
196.  
197. - -Bob Bosen-
198. Vice President
199. Enigma Logic Inc.
200. 71435.1777@COMPUSERVE.COM
201.  
202. ------------------------------
203.  
204. Date:    Tue, 19 Dec 89 17:30:00 -0500
205. From:    "Carl_A.Fassbender" <YOOPER@MSU.BITNET>
206. Subject: Gatekeeper and Gatekeeper Aid (Mac)
207.  
208. In Michigan State University's public laboratory, we have run into
209. many viruses including the WDEF virus.  We decided to put Gatekeeper
210. and Gatekeeper aid on our system disks.  To protect these files from
211. being erased, they were made invisible using MacTools.  Now in the
212. control panel, the Gatekeeper icon does not show up.  Question: Does
213. this mean that Gatekeeper is not active?  What about Gatekeeper Aid?
214.  
215. ------------------------------
216.  
217. Date:    Tue, 19 Dec 89 21:14:24 -0500
218. From:    Steven C Woronick <XRAYSROK@SBCCVM.BITNET>
219. Subject: DES Availability
220.  
221. IA96000 <IA96@PACE> (name unknown, employee of "SWE"?) writes:
222.  
223. >SWE first suspected and tested for the public key encryption method
224. >for several reasons. The major reason was the lack of access people
225. >outside of the United States would have to the DES encryption formula.
226. >
227. >For those not aware, the U.S. Government guards the DES formula, and
228. >software which makes use of this formula may not be exported out of
229. >the United States. Should it turn out that the DES formula was also
230. >used, the authors of the AIDS "trojan", could possibly be prosecuted
231. >under United States statutes pertaining to national security.
232.  
233.    Please correct me if I'm wrong, but isn't DES or DES-like
234. encryption algorithms readily available?  For example, the book
235. "Numerical Recipes, The Art of Scientific Computing," by W.H. Press,
236. B.P. Flannery, S.A.  Teukolsky, and W.T. Vetterling, published by
237. Cambridge University Press, (c)1986, p. 214-220 gives an algorithm for
238. DES (two and one half pages of highly-inefficient FORTRAN-like code).
239. Admittedly, the authors state that their program is not genuinely DES
240. (since the standard itself explicitly states that any implementation
241. in software is not secure and therefore not DES), but it does in
242. software the same thing real DES hardware would do, so it is for all
243. practical purposes DES.  (Also, how does the claim that software
244. versions of DES are technically not DES affect legal issues raised by
245. IA96000@PACE about exporting DES?).  Also, in my opinion, there is
246. nothing special about DES except that it is a kind of "standard"
247. algorithm (i.e. I think one can easily imagine other
248. equally-difficult- to-decrypt algorithms).
249.  
250. Steven C. Woronick     | Disclaimer:  These are my own opinions.
251. Physics Dept.          |     Always check it out for yourself...
252. SUNY at Stony Brook    |
253. Stony Brook, NY  11794 |
254. Acknowledge-To: <XRAYSROK@SBCCVM>
255.  
256. ------------------------------
257.  
258. Date:    Tue, 19 Dec 89 20:55:00 -0500
259. From:    IA96000 <IA96@PACE.BITNET>
260. Subject: SWE HAS MOVED TO A NEW ADDRESS
261.  
262. This is the final forward from SWE.
263.  
264. Please be advised due to  employment opportunities SWE is now in
265. the process of moving to a new location. They no longer have any
266. contact with Bitnet at this time.
267.  
268. They can be reached via US MAIL at the following address:
269.  
270. SWE
271. C/O General Delivery
272. Orlando, Florida
273.  
274. To those who requested copies of the AIDS disk, SWE regrets to inform
275. you the disks they had been working with have been returned to the
276. customers who sent them.
277.  
278. END OF MESSAGE
279.  
280. ------------------------------
281.  
282. Date:    Wed, 20 Dec 89 07:07:30 +0000
283. From:    craig@tolerant.com (Craig Harmer)
284. Subject: Re: AIDS Trojan (PC)
285.  
286. dmg@retina.mitre.org (David Gursky) writes:
287. >The AIDS Trojan Horse discussed by Alan Jay and John McAfee raises some
288. >interesting questions about accountability.
289. >
290. > ... could the perpetrators be held liable under U.S. law for
291. >damages, when the licensing notice clearly states the program is not
292. >licensed to be used in the United States, and that damage will result
293. >if you attempt to do so.
294.  
295. actualy, the licensing notices reminds me of the popular "shrink-wrap"
296. licenses where by breaking the shrink-wrap, you agree to the terms of
297. the license.  making the necessary action "running the program" doesn't
298. seem much different to me (though i'm not a lawyer).
299.  
300. so, assuming the people who's machines have been struck are in violation
301. of a "legally enforceable" licensing agreement, is the destruction of
302. data or denial of servicesomething they can sue over?  some of the
303. purveyors of data-block protection schemes for PCs seem to have provisions
304. that cause the program to stop working if monthly payments aren't made.
305.  
306. a friend of mine points out that there are also "good faith" types of
307. clauses in the law that hold that given the method of distribution,
308. the license agreement would not be valid.  it would be highly interesting
309. to see the PC Cyborg Corp. sue afflicted PC owners for breach of license!
310.  
311. {apple,amdahl}!tolsoft!craig                            craig@tolerant.com
312. (415) 626-6827 (h)                                      (408) 433-5588 x220 (w)
313.         [views expressed above shouldn't be taken as Tolerants' views,
314.                 or your views or my views.  they are facts!]
315.  
316. ------------------------------
317.  
318. Date:    20 Dec 89 11:24:34 +0000
319. From:    anigbogu@loria.crin.fr (Julian ANIGBOGU)
320. Subject: Re: AIDS Trojan Update (PC)
321.  
322. Alan_J_Roberts@cup.portal.com writes:
323. >A forward from John McAfee:
324. >
325. [deleted]
326. >The directors are: Kitain Mekonen, Asrat Wakjira and Fantu Mekesse. Since the
327. > names of the directors are all West African, it appears that the story told
328. >by Ketema Corporation about representing a Nigerian software firm may be
329. >close to the truth.  The story unfolds.
330. >[rest deleted]
331.  
332. I would like to correct the impression your assertion creates. That is
333. that the AIDS virus is from Nigeria. The names are quite exotic but as
334. a Nigerian I'd like to inform you of a fact you neglected: that the
335. names might be false . Well, Well, Well: the NAMES are all FALSE. We
336. don't answer such names. As a regular user of the PC, just as I would
337. like you to get to the bottom of this problem because it's a real
338. international problem, I would like you to be objective. Somebody
339. somewhere is/are covering his/their track(s) by stringing a red
340. herring.
341.  
342. Doesn't the name Mekonen remind you of a personality in Startrek?
343.  
344. I'm ready to be flamed but I can assure you that the above names are
345. fictitious. We certainly have not come of age in Computer Science to
346. produce such destructive weapons. It's obvious that some malefactor
347. somewhere is hiding under certain names to do his/their evil deeds.
348.  
349. Julian
350.                                 ---------------------------------------
351. e-mail: anigbogu@loria.crin.fr  | All opinions expressed here are      |
352.                                 |  naturally mine. However ...         |
353.                                 ----------------------------------------
354.  
355. ------------------------------
356.  
357. Date:    Wed, 20 Dec 89 11:30:09 +0000
358. From:    G.D.Shaw@durham.ac.uk
359. Subject: Was AIDS disk legal?
360.  
361. Martin Ward is quite right to say that:
362.  
363. >the effects of this disk are entirely in accordance with the standard
364. >warrenty used by most commercial software developers
365.  
366. however, I do not think that makes it legal.  Firstly there is the
367. question of blackmail.  This can mean either making an impropor
368. demand, or using impropor means to enfore a legitimate demand.  While
369. it could certainly be argued that they are quite within their rights
370. to demand payment, and could reasonably disable their own program
371. until such payment was made, I would hope that planting a logic bomb
372. that encrypted all the user's other files would not be considered a
373. propor means of enforcing that demand.
374.  
375. Secondly, there is criminal damage.  This is trickier, since although
376. a great deal of damage was certainly done, technically the program
377. acts in full accordance with the information given in the warrenty.
378. Furthermore, it is obviously not illegal to sell programs that can
379. wipe your hard disk (eg. Norton, or most other disk utilities).  I
380. suspect that the issue might come down to one of causality: By writing
381. the program, did the authors (legally) CAUSE the data to be lost , or
382. was the chain broken by a voluntary act on the part of the user.
383.  
384. Again, my hope would be that the former is the case.  The authors
385. almost certainly knew that most users would try out the program
386. without reading, or without fully comprehending the implications of
387. the warrenty.  They were tricking the users into executing the
388. program, and the users were behaving in a perfectly natural and
389. predictible manner.
390.  
391. Please note that I am not saying that every piece of defective
392. software is a case of criminal damage: if you write a program in good
393. faith, the element of mens rae does not exist (though that would not
394. protect you against a civil or criminal action for negligence).  In
395. this case, though, I think it quite reasonable to conclude that the
396. authors almost certainly acted with malicious intent.
397.  
398. DISCLAIMER: I am a Astronomer, not a Lawyer.  The above information is
399. not warrentied for any purpose whatsoever.
400.  
401. - --------------------------------------------------------------------------
402. Graham Shaw, Physics Department, Durham University, ENGLAND.  091-374-2138
403. JANET: G.D.Shaw@UK.AC.DUR.MTS          EARN: G.D.Shaw%MTS.DUR.AC.UK@UKACRL
404. INTERNET: G.D.Shaw%MTS.DUR.AC.UK@CUNYVM.CUNY.EDU      STARLINK: DUVAD::GDS
405. - --------------------------------------------------------------------------
406.  
407. ------------------------------
408.  
409. Date:    Wed, 20 Dec 89 10:21:13 +0000
410. From:    Alan Jay <alanj@ibmpcug.co.uk>
411. Subject: AIDS Information Disk (PC)
412.  
413. > From:    Martin Ward <martin@EASBY.DURHAM.AC.UK>
414. >
415. > I feel that I should point out that the effects of this disk are
416. > entirely in accordance with the standard warrenty used by most
417. > commercial software developers
418.  
419. Though most of them don't blatently say "if you don't I will destroy you."
420. (see below)
421.  
422. > (the ones which disclaim that the
423. > programs are fit for any purpose at all, that XXX will disclaims all
424. > responsibility for any damage or loss caused etc.)
425.  
426. This is the kind that implies that if by mistake I do something that
427. causes a problem tuff (in the US I believe several companies are
428. trying to reclaim money caused by losses resulting from bugs in
429. spreadsheet software).
430.  
431. > Either these
432. > warrenties are ILLEGAL or the perpetrators of this disk are entirely
433. > within their legal rights to do what they have done. Does anyone (eg a
434. > lawyer) know which is the case?
435.  
436. Martin's point is interesting but worse still the warranty and license
437. agreement sent out with the AIDS Infromation Disk specifically state that:
438. "Warning: Do not use these programs if you are not prepared to pay for them''
439. and
440. "..program mechanismis will adversely affect other program applications...''
441. and
442. "..faliure to abide by this license......your conscience may haunt you for
443. the rest of your life ....... your microcomputer will stop functioning
444. normally."
445.  
446. Generally if you read the license agreement you would NOT use the program.
447. The legallity of the license is questionable but probably no more so than
448. the comercial one described by Martin.  At one time several reputable
449. software companies were rumered to have been contemplating using
450. a copy protection scheme that would have caused damage and data loss if the
451. program was illegally copied.  Luckily for us Software houses went the
452. opposite way to a non copy protected world.
453.  
454. Maybe this is nothing more than a copy protection scheme that isn't
455. quite as good as it is supposed to be -- it has bugs that cause it to go
456. off sooner than the anticipated 90days after installation.
457.  
458. An antidote to the two known phases of the program mechanism has already
459. been written and is available from our BBS (+44 1 863 6646) and from the
460. PC Business World (Tel: +44 831 9252).  We are only speculating that
461. the program does other detrimental things to your system until they are seen
462. the programs effects appear to be reversable.
463.  
464. Whatever the reason behind this mailing it sould only warn people to remind
465. ALL users not to use and disk sent to them, especially if it is unsollicited.
466.  
467. Alan Jay
468.  
469. PS If any users have installed the AIDS program then I can mail them the
470. antidote for it.  Please mail me with your requests.
471.  
472. ------------------------------
473.  
474. Date:    Wed, 20 Dec 89 10:50:00 -0500
475. From:    John.Spragge@QueensU.CA
476. Subject: Standard disclaimers and AIDS Trojan horse
477.  
478. In VIRUS-L #261, Martin Ward asks whether the standard warranty is
479. illegal, or the developers of the AIDS-trojan are within their rights.
480.  
481. I am a programmer, not a lawyer, so I can not quote specific law with
482. any authority; suffice it to say that the disclaimers that come with
483. most of the software I buy observe that the liabilities of the
484. manufacturer or distributor of a program vary between jurisdictions.
485.  
486. However, from the point of view of a programmer, I can point out that
487. there is a great difference between disclaiming responsibility for the
488. way a program will behave on any arbitrarily chosen machine, and writing
489. a program with the deliberate intention of causing harm. Whether a court
490. would appreciate the difference remains to be seen, but in this case, if
491. a case can be made that the demand for money the "AIDS" program makes is
492. extortion, I doubt that any disclaimer could protect the authors.
493.  
494. As for the legal (not to say ethical) question of whether is it is ever
495. acceptable for a programmer to write a harmful program, there is (or was)
496. a case that may shed some light on this issue: Eric Newhouse, in his
497. newsletter on illegal programs, trojan horses, and viruses, claimed that
498. a "legitimate" commercial outfit had written a trojan horse that claimed
499. to crack softguard protection on a file, but actually destroyed the user's
500. data. The claim he reported that the company in question made was that
501. since an attempt to crack softguard protection was a violation of a
502. license agreement, they data of such users was fair game. Mr. Newhouse
503. indicated that the authors of this trojan were being taken to court,
504. which may (if the issue is through the courts yet) shed some light on
505. the judicial perception of this issue.
506.  
507. John G. Spragge
508. Taliesin Software Resources Limited
509. Suite 212, 4 Cataraqui Street
510. Kingston Ontario, K7K 1Z7
511. Phone: (613)545-9577, Bitnet: <SPRAGGEJ@QUCDN>
512.  
513. ------------------------------
514.  
515. End of VIRUS-L Digest
516. *********************
517. Downloaded From P-80 International Information Systems 304-744-2253
518.