home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl2 / virusl2.46

< prev

next >

Wrap

Text File  |  1995-01-03  |  4KB  |  89 lines

---

1. VIRUS-L Digest             Tuesday, 14 Feb 1989         Volume 2 : Issue 46
2.  
3. Today's Topics:
4. re: Virus detection
5. re: "Valentine's Day Trojan Horse" (VAX/VMS)
6.  
7. ---------------------------------------------------------------------------
8.  
9. Date: 13 February 1989, 10:02:09 EST
10. From: David M. Chess  <CHESS@YKTVMV.BITNET>
11. Subject: re: Virus detection
12.  
13. > currently we seem to be fighting a
14. > losing battle against virus detection
15.  
16. Are we?  In practice, the existing viruses are all very
17. unsophisticated, and easily detected by things that watch for
18. suspicious activity in the environment (executables changing length,
19. modifications to system files, new resources appearing, and so on).
20. It's not hard to write a program that will detect every known virus,
21. *and* every other virus in the general families that we've seen.  In
22. theory, of course, viruses >could< be a lot nastier, and I'm not
23. advocating ignoring the threat.  But I don't think we're losing the
24. battle at the moment...
25.  
26. > Maybe the quarantine approach is better.
27.  
28. No better than the modification-detection approach, I don't think.
29. They might be used together to some advantage, but I think trying to
30. reply entirely on "quarantine" would be a serious mistake.  Unless you
31. try very very hard, it's going to be trivial for the virus to notice
32. that the machine it's running on is not "normal" in any sense ("hmm,
33. thirty-five programs have been run without a single keystroke on the
34. physical keyboard; rather suspicious!").  A virus could be designed
35. not to do any infecting unless the environment looked normal (physical
36. keystrokes occurring now and then, a certain amount of idle time,
37. etc).  For every step you can take to make the quarantine environment
38. look more normal, a new virus can come out that is one step cleverer.
39. Same sort of escalation that could occur in the area of non-quarantine
40. methods of detection!
41.  
42. > The system clock runs 1000 times
43. > faster than normal to check for delayed-action viruses.
44.  
45. If you speed up the CPU by a factor of 1000 as well, it will burn out
46. (if you're using a normal machine), or be very very expensive (if
47. you've found someone who can make a CPU that'll run 1000 times faster
48. than today's, I think lots of computer companies would be
49. interested!).  If you don't speed up the CPU, but only the time-of-day
50. clock, the fact will be very obvious to any virus testing to see if
51. it's running in quarantine.
52.  
53. > Comments, anyone?
54.  
55. You asked for it!   *8)
56.  
57. DC
58.  
59. ------------------------------
60.  
61. Date: 13 Feb 89 20:23
62. From: minow%thundr.DEC@decwrl.dec.com (Repent! Godot is coming soon! Repent!)
63. Subject: re: "Valentine's Day Trojan Horse" (VAX/VMS)
64.  
65. In Virus-List 2.43, Gary Ansok asks whether a program on a host
66. computer can change the VT100/VT200 answerback message or echo screen
67. contents back to the host.
68.  
69. Neither is possible in VT100 or VT200 series terminals.  Also, the VMS
70. mail display program filters out all escape sequences and non-standard
71. control codes.
72.  
73. Thus, a Trojan Horse program distributed via VMS Mail would have to
74. tell the user to save the file and execute it.
75.  
76. In a postscript, Gary notes that he'll "be looking over [his] incoming
77. mail extra carefully for a few weeks."  This is always good advice.
78.  
79. Martin Minow
80. minow%thundr.dec@decwrl.dec.com
81. The above does not represent the position of Digital Equipment
82. Corporation.
83.  
84. ------------------------------
85.  
86. End of VIRUS-L Digest
87. *********************
88. Downloaded From P-80 International Information Systems 304-744-2253
89.