home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.27

< prev

next >

Wrap

Text File  |  1995-01-03  |  10KB  |  206 lines

---

1. VIRUS-L Digest             Thursday, 26 Jan 1989        Volume 2 : Issue 27
2.  
3. Today's Topics:
4. PC hardware protection (PC)
5. re: Request for definition of worms and trojan horses.
6. Re: [LICHTBLS@DUVM.BITNET: nVir (init 29) (Mac)]
7. Virus Prevention Guidelines
8.  
9. ---------------------------------------------------------------------------
10.  
11. Date:       Thu, 26 Jan 89 15:02:51 GMT
12. From:       Martin Ward <martin@EASBY.DURHAM.AC.UK>
13. Subject:    PC hardware protection (PC)
14.  
15. I have been considering the problem of trying to add some protection
16. against Trojan Horse (and by implication virus-infected) programs to a
17. PC. With a standard PC there appears to be NO protection against a
18. malicious Trojan which lies dormant for a while (ie carries out its
19. advertised function) and suddenly decides to trash all your file (or
20. just change a random byte in a random file). This is because any
21. program has total access to any bit of the hardware. Hence the only
22. protection is a regular backup (the Trojan which randomly changes
23. small areas of data could still take a while to find and therefore
24. could do a lot of damage).
25.  
26. Other operating systems (eg UNIX) have protection mechanisms which
27. (barring loopholes) prevent a user from accessing or modifying files
28. he does not have permission for. This could be extended to the concept
29. of "program" permissions: when an untrusted program is about to be run
30. a trusted supervisor program gives write permission to only those
31. files the untrusted program is allowed access to and then runs the
32. program under that user id.
33.  
34. To implement this system on a PC requires extra hardware, (here is
35. where I need some help from someone with more knowledge of PC
36. hardware): I imagine a two-position switch (physical, hardware
37. switch). In one position it allows full access to the disk and to an
38. internal "permissions" table. In the other position it denies access
39. to the "permissions" table and prevents access to any files not listed
40. in the table. Moving the switch from the second to the first position
41. should cause an automatic cold boot (this is so that a malicious
42. program cannot "pretend" it has terminated and fool you into moving
43. the switch). To execute an untrusted program you run a trusted program
44. which looks up the files allocated to the untrusted program (in a
45. file), sets up the permissions table and requests that you throw the
46. switch.  It then waits for the switch to be moved and automatically
47. runs the program.
48.  
49. No "untrusted" program should have access to the boot tracks,
50. command.com files etc. or any executables, and should not be able to
51. create "bad" sectors.  Hence the cold boot which occurs when the
52. switch is moved back to the "trusted program" position should be
53. perfectly safe.
54.  
55. Comments on the practicality etc. of this idea are welcomed!
56.  
57.             Martin.
58.  
59. My ARPANET address is:  martin%EASBY.DUR.AC.UK@CUNYVM.CUNY.EDU
60. JANET: martin@uk.ac.dur.easby    BITNET: martin%dur.easby@ac.uk
61. UUCP:  ...!mcvax!ukc!easby!martin
62. Quote: "If God had intended Man to Smoke, He would have set him on Fire."
63.  
64. ------------------------------
65.  
66. Date: 26 January 1989, 10:07:43 EST
67. From: David M. Chess <CHESS@YKTVMV.BITNET>
68. Subject:  re: Request for definition of worms and trojan horses.
69.  
70. Well, the definitions we tend to use around here are something like this:
71.  
72.   A bug is something that a program does that neither the programmer
73.   nor the user intended.
74.  
75.   A Trojan horse is a program that does something that the programmer
76.   intended it to, but the user did not.  (And, generally, that the
77.   user would not have approved of had he/she known about it.)
78.  
79.   A worm is a program that sends copies of itself through a network.
80.  
81.   A virus is, to quote Fred Cohen, "a program that can 'infect' other
82.   programs by modifying them to include a possibly evolved copy of itself".
83.  
84. A program infected with a virus is usually a Trojan horse, since it
85. does at least one thing (infecting other programs) that the user
86. doesn't know about, and wouldn't approve of.   The (a?) key difference
87. between a worm and a virus is that a virus is a code-fragment that
88. hides within and spreads between *programs*, whereas a worm is a complete
89. program (or program-set) that runs on and spreads between network-
90. attached *computers*.  In a very deep theoretical sense, the two are
91. different versions of the same thing (instructions that make copies
92. of themselves at other places in a computing environment); but in
93. practice, a program is different enough from a network-attached system
94. that it makes sense to draw a distinction.
95.  
96. The Internet thing back in November was a worm, not a virus.  A
97. copy of Pandas in Space that has been hacked to include code that
98. erases all your files (but doesn't spread to other programs) is a
99. Trojan horse, but not a virus or a worm.
100.  
101. Something like that...
102.  
103. DC
104.  
105. [Ed. Thank you for the clear definitions.  I received a plethora of
106. similar definitions of virus/worm/trojan today; thanks to *everyone*
107. who took the time to send in theirs!  I've included (only) this one
108. here, not because it's any better (or worse) necessarily, but to cut
109. down on redundancy/traffic.
110.  
111. J.D. Abolins made a very interesting point in the definition that he
112. sent in: "Tom Kummer, in a recent posting, asked what is the
113. difference between Trojan Horse program and worms as compared to
114. viruses.  Before I post an off-the-cuff reply, I must mention that the
115. terminology for 'bogusware' is very fluid.  The use of any word such as
116. virus, worm, etc. has to be interpreted in the context of the person
117. using the word and the actual workings of the program in question.
118. 'One man's virus is another man's worm.'"  This points out the fact
119. that there is much confusion (particularly in the media) as to the
120. meaning of the above terms.  We must try to take such reports with a
121. grain of salt, and figure out for ourselves what the author meant.
122. The media still refers to the Internet Worm as the "Internet Virus"...]
123.  
124. ------------------------------
125.  
126. Date:         Thu, 26 Jan 89 11:16:09 EST
127. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
128. Subject:      Re: [LICHTBLS@DUVM.BITNET: nVir (init 29) (Mac)]
129.  
130. >Subject:      nVir (init 29) (Mac)
131. >
132. >  I have encountered this new strain of nVir on a bunch of Mac II's
133. >with Interferon, but have not been able to successfully eradicate the
134. >infection.  Also Ferret, VirusRx, and virus detective are not able to
135. >identify this virus.  The virus also shows up as a code segment ID 255
136. >or 256 which is 712 bytes long as previously noted.  What is the best
137. >way to eradicate this "thing"?  Is this new strain of any potential
138. >danger to documents saved on a different disk or will it just cause
139. >memory problems when the infected machine is used?
140.  
141. The INIT 29 virus is not a strain of nVIR. It is much more dangerous.
142.  
143. INIT 29 is far more infective than any Mac virus yet known. It gets
144. into *EVERYTHING*. Documents, font (suitcase) files, printer drivers,
145. the Desk Top file (the real one!); just about everything except (for
146. some reason) MacPaint files.
147.  
148. When an infected program is run on a clean system, the INIT gets
149. installed into the System file. When an infected program is merely
150. COPIED TO A DISK, the Desk Top file gets infected.
151.  
152. Next boot, it infects every file with a resource fork that gets opened
153. during the work session. *Inserting* a disk into an infected system
154. will infect its Desk Top file, unless it is locked. If it is locked,
155. you will get the "Disk needs minor repairs" dialog. DON'T FALL FOR IT!
156. This is caused by the I/O error caused by the virus being unable to
157. infect the Desk Top file. Unlocking the disk and reinserting it will
158. get you.
159.  
160. It patches itself into applications, adding a new CODE segment with an
161. ID 1 larger than the highest-numbered CODE resource. Bytes 9, 10, 11,
162. and 12 of CODE 0 are patched to point to the virus; these bytes are
163. moved to bytes 16, 17, 18 and 19 of the virus. For some reason,
164. multiple copies of the virus get copied into some applications.
165.  
166. The only application which can clean up infected *documents* (not
167. applications) is VirusDetective(tm) 2.0. It is already configured to
168. do so. Use its "delete infection" option to erase the INIT 29
169. resource. Applications should be replaced from clean copies. You might
170. try using the patch information noted above for irreplaceable
171. applications.
172.  
173. This is a very, very nasty virus. BE CAREFUL! GateKeeper should
174. probably be able to stop it; I don't think Vaccine is totally
175. resistant to it.
176.  
177. Virus Detective 1.2 does not dependably remove the infection: it does
178. not deal properly with locked resources, whereas the virus DOES. It
179. may tell you that it has deleted the infection, when it has done no
180. such thing.
181.  
182.  --- Joe M.
183.  
184. ------------------------------
185.  
186. Date: Thu, 26 Jan 89 13:12 EST
187. From: Roman Olynyk - Information Services <CC011054@WVNVMS.BITNET>
188. Subject: Virus Prevention Guidelines
189.  
190. Computer World (Jan. 9) had a article which referenced virus prevention
191. guidelines:
192.    "Del Jones, managing director of the National LAN Laboratory in
193.    Reston, VA., has issued a set of guidelines on virus prevention
194.    and control endorsed by about 70 manufacturers."
195. A subsequent reference to another CW article didn't discuss these
196. guidelines.
197.  
198. Can anyone help me get a handle on these guidelines or where I might
199. actually find them?
200.  
201. ------------------------------
202.  
203. End of VIRUS-L Digest
204. *********************
205. Downloaded From P-80 International Information Systems 304-744-2253
206.