home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.30

< prev

next >

Wrap

Text File  |  1995-01-03  |  28KB  |  637 lines

---

1. VIRUS-L Digest   Friday,  2 Feb 1990    Volume 3 : Issue 30
2.  
3. Today's Topics:
4.  
5. Re: Signature Programs
6. Re: And another WDEF infection (Mac)
7. Re: Universal virus detector
8. Re: Internet Worm
9. Statistical Distribution of Viruses
10. Re: Universal virus detectors
11. 4096 virus detection (PC)
12. Jerusalem Disinfectors (PC)
13. Trojan Alert (MAC)
14. Help with removing virus requested (PC)
15. The Ultimate Anti-Viral Solution?
16. Timestamp virus protection
17. FSP+ Checksumming
18.  
19. VIRUS-L is a moderated, digested mail forum for discussing computer
20. virus issues; comp.virus is a non-digested Usenet counterpart.
21. Discussions are not limited to any one hardware/software platform -
22. diversity is welcomed.  Contributions should be relevant, concise,
23. polite, etc., and sent to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's
24. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
25. anti-virus, document, and back-issue archives is distributed
26. periodically on the list.  Administrative mail (comments, suggestions,
27. and so forth) should be sent to me at: krvw@SEI.CMU.EDU.
28.  - Ken van Wyk
29.  
30. ---------------------------------------------------------------------------
31.  
32. Date:    31 Jan 90 20:14:06 +0000
33. From:    well!rsa@lll-crg.llnl.gov (RSA Data Security)
34. Subject: Re: Signature Programs
35.  
36.  
37.           The following  paper is  presented for review and discussion.  It
38.           will be submitted to a number of conferences and MD4 will
39.             be proposed to a number of standards organizations. We encourage
40.             people to study and evaluate MD4.
41.           _________________________________________________________________
42.  
43.                           The MD4 Message Digest Algorithm
44.                           --------------------------------
45.  
46.                                  by Ronald L. Rivest
47.              MIT Laboratory for Computer Science, Cambridge, Mass. 02139
48.                                          and
49.                RSA Data Security, Inc., Redwood City, California 94065
50.  
51.  
52.                   (C) Copyright 1989, 1990 RSA Data Security, Inc.
53.  
54.                                           (Version 1/29/90)
55.  
56.  
57.  
58.           Abstract:
59.           ---------
60.  
61.           This note  describes the  MD4  message  digest  algorithm.    The
62.           algorithm takes as input an input message of arbitrary length and
63.           produces  as   output  a  128-bit  ``fingerprint''  or  ``message
64.           digest''  of   the  input.   It  is   conjectured  that   it   is
65.           computationally infeasible  to produce  two messages  having  the
66.           same message  digest, or  to produce  any message  having a given
67.           prespecified target  message digest.   The  MD4 algorithm is thus
68.           ideal for digital signature applications, where a large file must
69.           be ``compressed'' in a secure manner before being signed with the
70.           RSA public-key cryptosystem.
71.  
72.           The MD4  algorithm  is  designed  to  be  quite  fast  on  32-bit
73.           machines.    On  a  SUN  Sparc  station,  it  runs  at  1,100,000
74.           bytes/second.     On  a  DEC  MicroVax  II,  it  runs  at  70,000
75.           bytes/second.   In addition,  the MD4  algorithm does not require
76.           any large  substitution tables;  the algorithm can be coded quite
77.           compactly.
78.  
79.  
80. [Ed. Due to the length of this paper, I've placed it on the
81. VIRUS-L/comp.virus document archive at cert.sei.cmu.edu, where it is
82. available for anonymous FTP.  The filename is:
83. pub/virus-l/docs/md4.rsa.paper.]
84.  
85.           (C) Copyright 1989, 1990 RSA Data Security, Inc.
86.           All rights reserved.
87.  
88. ------------------------------
89.  
90. Date:    Thu, 01 Feb 90 14:01:00 -0500
91. From:    Peter W. Day <OSPWD@EMUVM1.BITNET>
92. Subject: Re: And another WDEF infection (Mac)
93.  
94. The WDEF virus has infected the public computing Labs at Emory
95. University.
96.  
97. ------------------------------
98.  
99. Date:    01 Feb 90 00:00:00 +0000
100. From:    "David.M..Chess" <CHESS@YKTVMV.BITNET>
101. Subject: Re: Universal virus detector
102.  
103. >        Any time later, I can generate a new list and compare.  It is
104. > then up to me to decide whether any differences that show up are
105. > legitimate - but I have the absolute assurance that I WILL get an
106. > indication of any changes.
107.  
108. Sure, and that's certainly a good first step.  But I still claim that
109. it isn't by any means a universal virus detector, and would not solve
110. the virus problem, because the thing that is "up to you" is just too
111. hard.  The system can tell you that only files that you expect to have
112. changed have changed, but it *can't* tell you that they've changed
113. only in innocent ways.  That's one of the largest problems of virus
114. protection; the system can't in general tell, and certainly can't tell
115. down below the "which file was changed" level, which modifications to
116. the executable-set were intended by the user, and which were not.  A
117. system like this might catch any viruses that we know of today; on the
118. other hand, if it became widespread, viruses that it would not catch
119. (or, more accurately, that a human using it would not catch) would
120. shortly appear.
121.  
122. > Another alternative is to add another bit, the "may create
123. > executables" bit.  Only code running from a block marked with this bit
124. > may turn on the "executable" bit for another block.  Normally, only
125. > the linker and an image copier would have this bit set.  A virus could
126. > still be written - but it couldn't modify existing code directly, it
127. > would have to produce object code and pass it through the linker.
128.  
129. Or it could create the object that it wanted, and call the copy
130. utility.  Or is it impossible for a program to copy a non-executable
131. thing to an executable thing?  That would help a little, but would
132. also make the system less convenient to use.  How do you get a new
133. copy of the linker?  How do you write a patch program?
134.  
135. Don't get me wrong: I think these are all good ideas for future,
136. more virus-hardened systems.   I just want to point out that,
137. even if implemented perfectly, they don't make the problem go
138. away...
139.  
140. DC
141.  
142. ------------------------------
143.  
144. Date:    Thu, 01 Feb 90 19:07:04 +0000
145. From:    grimesg@annapurna (George Grimes)
146. Subject: Re: Internet Worm
147.  
148. geof@aurora.com (Geoffrey H. Cooper) writes:
149. lines deleted ......
150. >
151. >One thing that makes me wonder: A newspaper article claims that Morris
152. >wanted to stop the worm when it started to get out of control, and
153. >decided that he wasn't able to.  When the Internet group started to
154. >try and control it, why didn't he offer to help?  At least a copy of
155. >the source code would have been of great assistance.  Instead, he
156. >hides and waits for the FBI to find him.
157. >
158. >Would not this have been his best opportunity to show his benign
159. >intentions?  Or perhaps he was advised not to help by someone.
160.  
161. Haven't you ever screwed up badly and then panicked?  Were you
162. thinking clearly and rationally at the time?  Heavy adrenalin flow is
163. conducive to flight, not thought.
164.  
165. George
166.  
167. *******************************************************************************
168.        I speak only for me...let my company form their own opinions!
169. *******************************************************************************
170.  
171.    +-------------------------------------------------------------------+
172.    | DOMAIN: grimesg@sj.ate.slb.com        | George Grimes             |
173.    | INTERNET: grimesg@sjs.slb.com         | (408)437-5305             |
174.    +-------------------------------------------------------------------+
175.  
176. ------------------------------
177.  
178. Date:    Thu, 01 Feb 90 16:26:00 -0500
179. From:    WHMurray@DOCKMASTER.ARPA
180. Subject: Statistical Distribution of Viruses
181.  
182. Greg Gilbert asks:
183.  
184. >Should I purchase the subscription or should I buy each update?  i.e.
185. >What is the probability in the next year that more than four viruses
186. >(strains, clones, etc....) will occur?
187.  
188. Well, after all of this clinical discussion, we finally find an
189. epidemiologist.  (Greg, you will enjoy my paper in "Computers and
190. Security," Vol. 7 No. 2, April 88.)
191.  
192. The decision is analogous to the decision to be inoculated against a
193. biological virus.  Such an inoculation has some risk and is not free.
194. If it is sufficiently effective and if enough others take it, there will
195. be no one for you to catch the virus from.  This is another way of
196. saying that the virus no longer finds the population sufficiently
197. hospitable to prosper and spread.
198.  
199. I have never been innoculated against Polio-myelitis.  I often
200. experience reactions to innoculations.  I grew up in the midst of
201. epidemic polio, and was likely immune anyway.  If all of the children,
202. least likely people to be otherwise immune, took it, a large population
203. from the most likely vectors would be removed.  Yes, I really did go
204. through that rational, but mostly I just do not like shots.
205.  
206. We no longer innoculate against Small-pox.
207.  
208. If we could clean up the Universities, Info-Centers, and retail
209. establishments, we would go a long way toward suppressing viruses.
210. Indeed, we may have to shut down PC labs.  You can now buy a Toshiba
211. 1000 for $549.00.  This is roughly the equivalent cost of my slide
212. rule thirty-five years ago.  We did not share slide rules.  The
213. economic motive behind the shared PCs in a lab has disappeared, but
214. the unhealthy little cess pools persist.  Clean up your acts!
215.  
216. Best, Bill
217.  
218. ------------------------------
219.  
220. Date:    Thu, 01 Feb 90 23:34:52 +0000
221. From:    RWALLACE@vax1.tcd.ie
222. Subject: Re: Universal virus detectors
223.  
224. Leichter-Jerry@CS.YALE.EDU writes:
225. > All this debate about whether virus detection is equivalent to the
226. > halting problem, whether real CPU's are best modeled and FSA's or
227. > Turing machines, and so on, is interesting but in a deep sense
228. > completely irrelevant.
229. >
230. > With simple hardware support, one can design a system in which all
231. > viruses are trivial detectable.
232. >
233. >         Technique:  The hardware will maintain, in both memory and
234. >         on disk, an "is executable code flag".  For practicality,
235. >         assume this is done on a block-by-block basis say in units
236. >         of a K.
237. >
238. >         The hardware enforces the following rules:
239. >
240. >         1.  Any attempt to execute code from a memory block which
241. >         is not marked executable fails.
242. >
243. >         2.  The only way to write into a block of memory that is
244. >         marked executable is from a disk block marked executable.
245. >
246. >         3.  Any attempt to write to a disk block marked executable
247. >         fails.  (To write to such a block, the executable flag must
248. >         first be cleared.)
249. >
250. >         4.  Any disk block can be marked executable at any time.
251. >
252. >         Memory blocks are marked executable only by reading execu-
253. >         table disk blocks into them.
254. >
255. >         5.  Associated with every disk block is a time stamp.  When
256. >         a block is marked executable, the hardware updates its time-
257. >         stamp.
258. >
259. >         6.  The system comes with physical ROM blocks, marked exe-
260. >         cutable, which contain at least the code needed to display
261. >         the timestamps on all executable blocks..
262.  
263. ...
264.  
265. > Why does this work, despite all the proofs?
266.  
267. The proofs are not relevant to your idea because they deal with the
268. problem of deciding whether a piece of code is a virus BEFORE it gets
269. executed whereas your idea is a run-time system. I gather the point is
270. that only code in executable blocks on the disk can be executed, and
271. these blocks can never be created or altered in any way, and any
272. attempt to modify executable memory fails. OK, so your system won't
273. work unless flexibility is unacceptably reduced.
274.  
275. 1. You can't do things like patch the operating system with utility
276. programs.  I have LOADS of utility programs on both Amiga and MS-DOS
277. that modify system jump tables etc. I'd far rather have to defend my
278. system against viruses myself than give up the use of these programs.
279. So that alone is sufficient to kill your scheme.
280.  
281. 2. Sometimes you WANT to modify programs, the main example being use
282. of a file zap utility to install patches to the executable code of a
283. program.
284.  
285. 3. You're going to HAVE to have a method for at least
286. creating/deleting executable disk blocks. What if the user wants to
287. delete or copy a program file? What if you want to extract a program
288. from an archive? What if you want to compile a program? What if you
289. want to download a program from a bulletin board? etc. etc... If
290. applications software can do these things then so can a virus. So your
291. system isn't going to be very usable, or else you'll have to give up
292. security. The timestamps are the only thing you're left with and how
293. many people are going to go into the ROM monitor program to display
294. the timestamps on every program on their ***-megabyte hard disk to
295. make sure nothing's been infected? Anyway you could probably work out
296. some way to beat this given that the virus has access to the video RAM
297. (which it _has_ to have).
298.  
299. I hate knocking down all these nice ideas. Someone please come up with
300. something that'll work, I'm beginning to think there isn't any
301. solution.
302.  
303. "To summarize the summary of the summary: people are a problem"
304. Russell Wallace, Trinity College, Dublin
305. rwallace@vax1.tcd.ie
306.  
307. ------------------------------
308.  
309. Date:    Thu, 01 Feb 90 14:07:18 -0800
310. From:    Alan_J_Roberts@cup.portal.com
311. Subject: 4096 virus detection (PC)
312.  
313. This is a forward from John McAfee:
314.  
315.           A number of people have called about SCAN's ability to detect
316. the 4096 virus.  When I said we could not detect it on disk, I was
317. referring to a system where the virus is active in memory.  If the
318. virus is not already in the system, then SCAN will of course identify
319. the virus on any file that you wish to scan before you run it.  If the
320. infected program is executed, however, then SCAN can only detect the
321. virus in memory thereafter.
322.           What I'm trying to say, I guess, is that once the virus gets
323. into memory and gains control, the only detection scheme that seems to
324. work is a scan of memory.
325.  
326. John McAfee
327. 408 988 3832  (voice)
328. 408 988 4004 (BBS)
329. 408 970 9727 (FAX)
330.  
331. ------------------------------
332.  
333. Date:    Thu, 01 Feb 90 14:13:02 -0800
334. From:    Alan_J_Roberts@cup.portal.com
335. Subject: Jerusalem Disinfectors (PC)
336.  
337. This is a forward from John McAfee:
338.  
339.           I have seen a few messages recently about the use of M-JRUSLM
340. for disinfecting the Jerusalem virus.  Please do not use this program,
341. since we no longer support it.  Clean-Up (CLEANP57) has replaced
342. M-JRUSLM and all of our other independent disinfectors.  If you have
343. any of the M-Series disinfectors (M-VIENNA, M-DAV, M-1704, etc.)
344. please assign them to the bit- bucket and replace them with Clean-Up.
345. Clean-Up is available on Compuserve, The SIMTEL archives or on
346. HomeBase at 408 988 4004.  Thank you.  John McAfee
347.  
348. ------------------------------
349.  
350. Date:    Thu, 01 Feb 90 15:00:32 -0700
351. From:    Peter Johnston <USERGOLD@UALTAMTS.BITNET>
352. Subject: Trojan Alert (MAC)
353.  
354. We have detected a new (to us) Macintosh trojan at the University of
355. Alberta.   Two different strains have been identified.   Both are
356. dangerous.
357.  
358. The first strain is imbedded in a program called 'Mosaic', type=APPL and
359. Creator=????.   When launched, it immediately destroys the directories
360. of all available physically unlocked hard and floppy disks, including
361. the one it resides on.   The attacked disks are renamed 'Gotcha!'.
362.  
363. Unmounted but available SCSI hard disks are mounted and destroyed by the
364. trojan.   The files of hard disks are usually recoverable with one of
365. the available commercial file utility programs, but often the data file
366. names are lost.   Files on floppy diskettes usually lose their Type and
367. Creator codes as well, making recovery a non-trivial procedure.
368.  
369. The second strain was detected in a Public Domain program called
370. 'FontFinder', Type=APPL and Creator=BNBW.   It  has a trigger date of 10
371. Feb 90.   Before that date, the application simply displays a list of
372. the fonts and point sizes in the System file.
373.  
374. On or after the trigger date, the trojan is invoked and disks are
375. attacked as for the first strain.   The trojan can be triggered by
376. setting forward the Mac system clock.
377.  
378. Because the second strain has a latency period during which it is non-
379. destructive, it is much more likely to be widespread.   Both trojans
380. were originally downloaded from a local Macintosh BBS here in Edmonton.
381. The second version was part of a StuffIt! archive named 'FontFinder.sit'
382. that also contained documentation and the source code for the FontFinder
383. application.   This source code does NOT contain the source code for the
384. trojan.
385.  
386. A quick-and-dirty search string for VirusDetective (v/3.0.1 or later)
387. has been developed that appears to detect the trojan engine in both
388. strains.   It is:
389.  
390.         Resource CODE & ID = 1 & Data 44656174685472616B
391.  
392. Note that this will detect the currently known versions, but may or may
393. not detect mutated versions of this trojan.
394.  
395. There is some evidence that these trojans are related based on
396. preliminary investigation of the code.   It has been speculated that the
397. second is an 'improved' version of the first (more sophisticated), or
398. that the two versions were developed by two individual perpetrators
399. working with the same trojan engine.   There easily could be more
400. versions either circulating or being developed.
401.  
402. This appears to be the first deliberately destructive malicious code
403. that targets on the Macintosh.   There is some suspicion that one or
404. both have been developed locally.   There is also the possibility that
405. one or both were uploaded from a BBS in the Seattle, Washington area.
406.  
407. Our investigation is far from complete, but is continuing.
408. Please warn your Mac users to make proper back-ups on a regular basis,
409. be suspicious of all software not received from a trusted source until
410. tested, and generally, to practice 'safe computing'.
411.  
412. Any additional information on these two trojans or similar malicious
413. code would be appreciated.   As and when our investigation turns up more
414. details, they will be posted...
415.  
416. Peter Johnston, P. Eng.
417. Senior Analyst, University Computing Systems,
418. 352 - GenSvcBldg, The University of Alberta
419. Edmonton, Alberta CANADA   T6G 2H1
420. Phone:  403/492-2462
421. FAX:    403/492-7219
422. EMAIL:  usergold@ualtamts.bitnet
423.  
424. ------------------------------
425.  
426. Date:    01 Feb 90 10:44:09 +0000
427. From:    "Arne Gehlhaar" <uniol!gehlhaar@uunet.UU.NET>
428. Subject: Help with removing virus requested (PC)
429.  
430. Hello !
431.  
432. This is my first posting (actually my second after a test) and hope
433. you'll excuse the chaos that I might be just producing ... Anyway I
434. have the following problem :
435.  
436. I just got an MSDOS exe-file via bitnet from the states, and I was
437. told that it was infected with the Jerusalem Virus.  Now this happens
438. to be the first contact I have with any kind of virus.  I *HAVE* been
439. reading most of the postings to this group, but it didn't make much
440. sense to me then.
441.  
442. My question is: Do I have to do anything against the virus, i.e. does
443. it do anything that I might not want ??? If so, what can I do about it
444. ??? Where do I get "anti-virus" programs...preferably without paying
445. :)
446.  
447. There seem to be quite a lot of you out there who know what's going
448. on, so could someone please give me some hints ??
449.  
450. Thanks in advance
451.  
452. Arne
453.  
454. PS.: I don't have a signature file... as you can see :)
455.  
456. ------------------------------
457.  
458. Date:    Thu, 01 Feb 90 15:37:00 -0500
459. From:    "Benjamin S. Smith" <SMIBS@RHODES.BITNET>
460. Subject: The Ultimate Anti-Viral Solution?
461.  
462. An idea which rolled off the top of my head this afternoon:
463.  
464. Every new program which comes out for your computer also has an
465. "anti-virus module" with it, as a separate data file.  This module
466. contains information on what actions the program which you have just
467. acquired takes during operation.  Does the program ever change size?
468. Does it ever create additional files?  Is it authorized to make
469. changes to other programs?  What kinds of changes?  How is it allowed
470. to make such changes?  Does it ever run/read other programs or data
471. files?  and so on.  Included would be a list of all required
472. read/write actions which the program uses.
473.  
474. A central program, included with your computer from its manufacturer,
475. is in charge of overseeing every one of these data files.  It is a
476. system-wide guard against unauthorized attempts from within any
477. program to modify data on your computer.  If a problem occurs, the
478. central program spells it out for you and asks for further
479. instructions.
480.  
481. Somehow the central program would have to be referenced with every
482. read and write, admittedly a long process.  Maybe the program could be
483. a piece of hardware, a chip, or extra memory simply set aside to be
484. used only by the central program.  Also, the more programs you have,
485. the more that the central program must keep track of.  Perhaps too
486. much information to deal with at once.  But it sounds good, right?
487.  
488. This way the burden for virus protection falls on the computer
489. manufacturer and the software companies themselves.  No new updates of
490. anti-virus programs are needed, since the computer can recognize any
491. "incorrect" activity.  Saves your $$, as you don't have to subscribe
492. to an anti-virus updating service.
493.  
494. Feasible?  Or just too complicated?  Could such a setup be compromised
495. in any way short of hardware failure?  Give it some thought.....
496.  
497. Ben Smith
498. smibs@rhodes.bitnet
499.  
500. ------------------------------
501.  
502. Date:    Thu, 01 Feb 90 00:00:00 +0000
503. From:    "Prof Arthur I. Larky" <AIL0@LEHIGH.BITNET>
504. Subject: Timestamp virus protection
505.  
506. Perhaps I'm Missing Something
507.  
508. >Date:    Wed, 31 Jan 90 13:13:00 -0500
509. >From:    Leichter-Jerry@CS.YALE.EDU
510. >Subject: Re: Universal virus detector
511.  
512. >While it may sometimes be difficult to decide exactly what catagory
513. >some transitions fall into, in many cases I can be definitive.  In
514. >particular, there it is almost always the case that no existing
515. >executable should be modified, ever.  All my existing executables can
516. >be checked by comparing their timestamps with known-correct values.
517. >Think of this as a very cheap, absolutely unforgeable checksum.
518.  
519. >More generally, any time I am certain my system is "clean" I can
520. >generate and save on a secure medium a list of all timestamps on my
521. >disk.  Any time later, I can generate a new list and compare.  It is
522. >then up to me to decide whether any differences that show up are
523. >legitimate - but I have the absolute assurance that I WILL get an
524. >indication of any changes.
525.  
526.   I hope we're not talking about the timestamp that MSDOS puts on
527. a file.  Any time you want to change one, MSDOS will be glad to do
528. so for you since that's what Int 21H function 57H does for a living.
529. If you don't want to write in assembly code, it's only a few lines
530. in Turbo Pascal.
531.  
532. >For example, you can add a
533. >hardware-enforced switch which when in the OFF position makes it
534. >impossible to set the "is executable" bit at all.  In this mode, you
535. >can't do program development, install new executables, or even copy
536. >executable files - but you absolutely can't be infected either.  The
537. >vast majority of systems could probably spend most of their time with
538. >the switch in this position.
539.  
540. But that's what I do for a living: "program development, install new
541. executables, etc."  Oh, well, one can always retire to something less
542. challenging such as urban warfare.
543.  
544. >Another alternative is to add another bit, the "may create
545. >executables" bit.  Only code running from a block marked with this bit
546. >may turn on the "executable" bit for another block.  Normally, only
547. >the linker and an image copier would have this bit set.  A virus could
548. >still be written - but it couldn't modify existing code directly, it
549. >would have to produce object code and pass it through the linker.
550.  
551.   I translate this to mean "find something other than a PC or a MAC
552. on which to do your computing."  True, but it doesn't solve the current
553. problem for most of us.
554.  
555. Art Larky
556. Professor of Electrical & Computer Engineering
557. Lehigh University
558. 215 Packard Bldg 19
559. Bethlehem, PA 18015
560.  
561. For all I know, this may not even be my opinion, let alone Lehigh's.
562.  
563. ------------------------------
564.  
565. Date:    Fri, 02 Feb 00 19:90:53 +0000
566. From:    greenber@utoday.UU.NET (Ross M. Greenberg)
567. Subject: FSP+ Checksumming
568.  
569. Y. Radai <RADAI1@HBUNOS.BITNET> writes about the checksum *installation*
570. being too difficult for many people to use, and that, therefore, the
571. presumption I make that "nobody has complained" (basically) might not
572. be representative of the actual situation out there.
573.  
574. Well.  He could be right.  I must admit that, if I were writing the
575. program all over again, the installtion procedure would have been made
576. a lot easier.  In my wildest dreams, I never expected the program to
577. have the success it has.  However, in shareware, there always must be
578. an incentive for people to register the program - else I don't make as
579. much money as I could.  Registered users of FLU_SHOT+ get an
580. installation program that makes the job a little easier - still not as
581. easy as falling off a log, but a little easier.
582.  
583. Users of my commercial program get something that is as easy as
584. falling off a log, though, and get a choice of different checksum
585. routines.  They can even pick more than one routine, and combine the
586. resulting checksums/sigs into one signature.  If people are expecting
587. some real sophisticated checksumming stuff, though, they won;t find it
588. in my stuff for the reasons I've outlined before.  Perhaps I'll
589. include some real tough checksumming in the commercial product, if
590. there is enough interest.  So, far, there doesn't appear to be any
591. real interest, except (potentially) by *some* of the readers of this
592. mailing list.
593.  
594. >Sorry, but I don't understand why you have to get back to the "real"
595. >checksum.  Suppose we improve the security by making the checksums
596. >different for each user.  From the fact that some user's checksum has
597. >changed relative to *whatever* it was when that user set up his
598. >checksum base, we'd know precisely the same thing that you know by
599. >comparing with the "real" checksum, namely that his file had been
600. >altered (which *may* indicate infection).  So what do you gain by use
601. >of the "real" checksum?
602.  
603. I get people calling me up with problems on them checksumming already
604. infected files.  In most of these cases, they were not aware of the
605. problem.  By knowing the checksums of some popular programs (not just
606. the system files), I can ask them to forward me a list of their
607. checksummed files, ask a simple question or two and then figure out,
608. potentially, what file is infected.
609.  
610. Remember that I'm supporting (as of date) just over 20K users.  That
611. causes me to have to make some compromises, and more's the pity: each
612. update has to take longer because it affects more people, more users.
613. There are estimates that only 1% of the users of shareware ever
614. register.  If this is the case, then I have a responsibility to take
615. things *very* slowly with any change I make.
616.  
617. That's not to say that I won't consider making such a change, just
618. that there is a heckuva lot more that goes into making a change that
619. increases the security of the product by .00001% (or whatever) but
620. that affects 100% of the users, registered or unregistered.  I have a
621. wish list of changes to make to the shareware version and to the
622. commercial version.  For obvious economic reasons, the commercial
623. version gets all the enhancements first.  For certain legal reasons,
624. some changes can never make it into the shareware version.
625.  
626. Just to reiterate: I never expected FLU_SHOT+ to have the popularity
627. that it does, nor did I realize the restrictions such popularity
628. places on the author when it comes to updating the code.
629.  
630. Ross
631.  
632. ------------------------------
633.  
634. End of VIRUS-L Digest
635. *********************
636. Downloaded From P-80 International Information Systems 304-744-2253
637.