home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker 2 / HACKER2.mdf / virus / virusl3 / virusl3.74

< prev

next >

Wrap

Text File  |  1995-01-03  |  16KB  |  366 lines

---

1. VIRUS-L Digest   Wednesday, 11 Apr 1990    Volume 3 : Issue 74
2.  
3. Today's Topics:
4.  
5. Signature Programs
6. Re: Death of a Virus
7. Re: Death of a Virus
8. Re: Universal Virus Detector
9. FTPing Disinfectant
10. Re: Death of a Virus
11. validation
12. False Indications from VIREX 2.5.1 (MAC)
13. Virus on Apollo? (UNIX)
14. Re: Validating Virus Software
15.  
16. VIRUS-L is a moderated, digested mail forum for discussing computer
17. virus issues; comp.virus is a non-digested Usenet counterpart.
18. Discussions are not limited to any one hardware/software platform -
19. diversity is welcomed.  Contributions should be relevant, concise,
20. polite, etc.  Please sign submissions with your real name.  Send
21. contributions to VIRUS-L@IBM1.CC.LEHIGH.EDU (that's equivalent to
22. LEHIIBM1.BITNET for BITNET folks).  Information on accessing
23. anti-virus, documentation, and back-issue archives is distributed
24. periodically on the list.  Administrative mail (comments, suggestions,
25. and so forth) should be sent to me at: krvw@CERT.SEI.CMU.EDU.
26.  
27.    Ken van Wyk
28.  
29. ---------------------------------------------------------------------------
30.  
31. Date:    10 Apr 90 09:36:58 -0400
32. From:    Bob Bosen <71435.1777@CompuServe.COM>
33. Subject: Signature Programs
34.  
35. Several weeks ago, Ross Greenburg challenged me to obtain and post
36. descriptions of tests and user experiences involving use of
37. sophisticated authentication algorithms in the "real world" against
38. real viruses. Because I represent a commercial software vendor I
39. was hesitant to publish my own test results out of fear I would sound
40. biased. Most of my clients are rather secretive, and it took a while
41. before I was able to arrange for the following to be written and
42. cleared for posting. The following is a message forwarded from
43. Padgett Peterson, a well-known (in some circles) virus researcher,
44. employed by a well-known Defense Contractor. He speaks only for
45. himself.
46.  
47. Padgett conducted a detailed evaluation of a great many viral defense
48. products, subjecting them to a collection of viruses and stressing
49. them in other ways. I am posting his words for him because at the
50. moment, his internet access is rather awkward. He comments on valuable
51. ways to use authentication algorithms at all ends of the spectrum, and
52. I find his views similar to my own, inasmuch as my product offers
53. authentication algorithms at all ends of the spectrum and allows
54. users to "fine-tune" the sophistication of the algorithm to suit all
55. the extremes and norms Padgett discusses. But there are things in his
56. views that'll make a lot of folks happy. The following are his words:
57.  
58.  
59. FOR POSTING
60.  
61.                                                  A. Padgett Peterson
62.  
63.  
64. Recently, following a hiatus from the VIRUS-L forum, I have had the
65. opportunity to examine the continuing authentication (thank you
66. WordStar) saga.  All of the people involved appear to be knowledgeable
67. and concerned participants, yet they seem to be arguing the same side
68. of two different questions:
69.  
70. 1)  Authentication of known software in a controlled unique environment
71.  
72. (Radai and Greenberg).
73.  
74. 2.  Authentication of unknown, publicly transmitted software (Bosen and
75.  
76. Murray).
77.  
78. The virus issue, while a valid concern, is just a complicating factor,
79. since, if the software were trusted, by definition it could not be
80. infected.  The focus of the issue is what level of authentication is
81. necessary for trust.  All of the participants agree that some is
82. necessary - the question is how much?
83.  
84. My personal feeling is that an authentication algorithm may be very
85. simple (CRC or less) provided that it is unknown (or unpredictable).
86. Since my 4.77 Mhz/ST-412 museum piece is capable of a simple byte
87. count/XOR/ROR disk file check at 50k bytes/second (and could be faster
88. if done in RAM by a TSR between LORD and EXECUTE), performance
89. concerns are unnecessary (quantum economics).  This method is suitable
90. for any physically controlled system.
91.  
92. Unfortunately, Mr. Greenberg's algorithm fails this test because it is
93. publicly known.  A mechanism designed to subvert his programs is
94. feasible (worm, trojan, virus, bomb, etc.).  However, given a small
95. number of different algorithms (ADD/SUB/XOR followed by ROL/ROR/NOP
96. give nine easily) generated by a machine-unique seed (time hack at
97. initial algorithm load would work), a non-resident intruder would have
98. a very hard time subverting a system without generating a few errors
99. first.
100.  
101. This is particularly effective if even the creator of such a program
102. cannot predict which algorithm/seed will be used on a particular
103. machine.
104.  
105. A procedure such as this is even workable in a networked/server
106. environment: the file itself is stored en clair.  Each authorized user
107. has a unique signature file.  No two signatures match yet each will
108. authenticate the same file in the proper machine.  A nightmare for
109. intruders.
110.  
111. Alternatively, a publicly transmitted file for which the algorithm/key
112. is also public requires a much more rigorous algorithm to avoid
113. spoofing or infection by a determined intruder.  In this case ANSI or
114. DES is appropriate.
115.  
116. Taken together, the indication would be that for inter-machine
117. transmission, the more rigorous public-key methods would be
118. appropriate, while a much simpler one would be suitable for
119. intra-machine retrieval.  This would postulate a software package
120. that:
121.  
122. a:  Uses a simple (fast) but unique algorithm for known files whose
123. signatures are stored on the platform.
124.  
125. b:  Requires a much more rigorous authentication process for unknown
126. files (possibly also requiring authorization for load).
127.  
128. c:  Once (b) is satisfied allows a file to migrate to (a).
129.  
130. Considering the viral threat, if a virus is accompanied by a valid
131. signature, ANY authentication scheme will pass it, however, as aoon as
132. a resident file is infected, the unique resident signature will become
133. invalid.
134.  
135. The point was raised concerning Boot and Partition Table Infectors
136. (Hidden Sector, FAT, Root, RAM-Resident, and Bad Sector Infectors are
137. also possible).  This is a different question from that of
138. authenticating a file.  At present I know of only one package that
139. provides complete coverage: Enigma-Logic's Virus-Safe which I use.
140.  
141. However, over 90% of all PC virii could have been caught early by a
142. CLI that occasionally compares the Top-Of-Memory, the end of DOS/TSR
143. memory, and the first byte of the Boot Sector against known values.
144. MS-DOS doesn't.
145.  
146. (END OF PADGETT PETERSON POSTING)
147.  
148. Thank You,
149.  
150.  
151. Bob Bosen
152. Enigma Logic Inc.
153.  
154. ------------------------------
155.  
156. Date:    Tue, 10 Apr 90 11:39:00 -0500
157. From:    HORN%HYDRA@sdi.polaroid.com
158. Subject: Re: Death of a Virus
159.  
160. A more accurate analogy might be the introduction of clean water
161. systems rather than the elimination of smallpox.  The widespread use
162. of modern operating systems with memory and device protection will
163. greatly hinder the spread of viruses, but by no means prevent their
164. spread.  I can think of methods to implement Unix and VM viruses.
165. Most of these depend upon sloppy system administration methods for
166. rapid spreading, but at least for now sloppy administration is the
167. norm.  Some of these have been demonstrated by attacks like the
168. Internet Worm.  But with a more modern hardware and operating system
169. it is much harder to spread and easier to cure.  This is similar to
170. what you find today with water-borne diseases.  Typhoid, cholera, and
171. dysentery are by no means eliminated in the US, but they are no longer
172. a normal cause of death.  They promptly return after disasters break
173. down the water systems (well cholera is still rare, but would recur if
174. the breakdowns lasted long enough).
175.  
176. Probably the greatest strength of most current systems is the
177. diversity of hardware and operating system revisions.  This forces the
178. use of source (non-executable) for most inter-machine transfers and
179. greatly hinders the spread of viruses and worms.  The strong
180. commercial push for standard binary interfaces is a danger in that it
181. will greatly increase the size of the computer population that is
182. vulnerable to any one specific attack.
183.  
184. R Horn  horn%hydra@polaroid.com
185.  
186. ------------------------------
187.  
188. Date:    10 Apr 90 00:00:00 -0500
189. From:    "David.M.Chess" <CHESS@YKTVMV.BITNET>
190. Subject: Re: Death of a Virus
191.  
192. kelly@uts.amdahl.com (Kelly Goen) writes, apparently in response
193. to a posting of mine:
194.  
195. > Yes dave but under environments which use say the VM8086 model on
196. > the 386 (such as VPIX) file writability and/or hardware acces is
197. > TOTALLY under the control of unix...  weak unix security weak dos
198. > security good unix security = good dos security in this case....
199.  
200. My point was that putting file access under the control of the
201. operating system *doesn't help*, at least not as much as people
202. generally assume.  Viruses spread by writing to files that they are
203. *allowed* to write to; they don't depend on a lack of security.  If
204. most programs have write access to only a few other programs, viruses
205. may not be able to spread as fast; but lowering the exponent on an
206. exponential spread helps surprisingly little.
207.  
208. Now of course this may be what you were saying; I'm not entirely sure
209. I understand the posting...
210.  
211. DC
212.  
213. ------------------------------
214.  
215. Date:    10 Apr 90 22:44:00 +0000
216. From:    alpope@skids.Eng.Sun.COM (Alan L. Pope)
217. Subject: Re: Universal Virus Detector
218.  
219. A Universal Virus Detector?  Go reread Goedel's Incompleteness Theorem.
220.                                         Alan Pope <alpope@Sun.COM>
221.  
222. ------------------------------
223.  
224. Date:    Tue, 10 Apr 90 15:49:57 -0400
225. From:    ELOISE@MAINE.BITNET (Eloise Kleban)
226. Subject: FTPing Disinfectant
227.  
228. Someone recently commented on the difficulty of downloading
229. Disinfectant from Simtel20.  I would say it is easier to
230. access sumex-aim.stanford.edu for Macintosh software.  Simply
231. FTP the files in ascii mode (non-binary) to your CMS account,
232. then download them (again, in ascii) to your Mac.  On the Mac
233. use Stuffit to decode and un-archive the applications.  I
234. recently acquired Disinfectant 1.7 this way with no trouble.
235.  
236. Eloise Kleban                     BITNET:   ELOISE@MAINE
237. Academic Coordinator              INTERNET: ELOISE@MAINE.MAINE.EDU
238. Computing Center                  Phone:    (207) 581-3518
239. University of Maine
240. Orono, ME, USA 04469
241.  
242. ------------------------------
243.  
244. Date:    Tue, 10 Apr 90 22:50:39 +0000
245. From:    Dave Ihnat <ignatz@chinet.chi.il.us>
246. Subject: Re: Death of a Virus
247.  
248. CHESS@YKTVMV.BITNET (David.M.Chess) writes:
249. >Unfortunately, viruses do not depend on this hardware model; viruses
250. >can spread in any system that allows both programming and information
251. >sharing, regardless of whether or not programs have direct access to
252. >the hardware, whether or not the system is assumed to be single-user,
253. >and so on.  See various papers by Fred Cohen on the subject.  As long
254. >as (roughly) some programs sometimes have write-access to some other
255. >programs, viruses can spread.
256. >Dave Chess
257. >IBM T. J. Watson Research Center
258.  
259. As a practical matter, I was trying to not go into a lecture on the
260. differences between the hardware and software models you bring up.
261. But the baseline is this: All of the single-user machines which are
262. currently the major targets of viral attack provide NO hardware model
263. which allows preemptive control by the OS or monitor of program access
264. to memory or hardware.  Thus, in such systems, it is categorically
265. impossible to provide a reliably virus-free environment.
266.  
267. Systems which provide the underlying hardware CAN be made much more
268. secure.  In this environment, it is still possible to improperly use
269. the provided capabilities and thus grant unauthorized access; but this
270. is not a case of CAN be secure, but DIDN'T make it secure but had the
271. capability.  As a real- world example, Unix and VMS systems don't see
272. the widespread attacks that single-user systems such as the PC and Mac
273. have "enjoyed."  Attacks on such multi-user/multi-tasking systems that
274. are successful invariably result from either errors in the protection
275. mechanisms (usually, not the hardware itself, but rather the operating
276. system which utilizes it) or errors in application of the provided
277. protections, either by programmers (privileged programs that don't
278. properly control access, etc.), or by administrators and users who
279. don't use such capabilities as ACL's and file permission settings.
280.  
281. So the point I was making is that in an environment which doesn't even
282. provide underlying hardware support for protection, it's impossible to
283. make a secure, safe system no matter how good you are in software
284. development.  Having the hardware, however, does not guarantee such
285. security; but id does make it possible.
286.  
287. ------------------------------
288.  
289. Date:    Wed, 11 Apr 90 01:05:41 -0400
290. From:    *Hobbit* <hobbit@pyrite.rutgers.edu>
291. Subject: validation
292.  
293. The best way anyone could validate his antiviral is to distribute the
294. sources.  Which most of these authors seem highly unwilling to do, for
295. some odd reason.  Did you ever wonder what they were hiding sometimes?
296. This exe-file validation stuff is a crock.
297.  
298. _H*
299.  
300. ------------------------------
301.  
302. Date:    Wed, 11 Apr 90 08:08:22 -0500
303. From:    SDSV%ISEC-OA@IBM1.CC.Lehigh.Edu
304. Subject: False Indications from VIREX 2.5.1 (MAC)
305.  
306. HJC Software, authors of VIREX Virus Detection Software, has confirmed
307. a bug in their software version 2.5.1, ALL software written in
308. QuickBasic will give you a false msg of a Trojan Horse being detected.
309. HJC Software will be releasing version 2.6 shortly which will correct
310. this problem.  It will be sent to all registered users.
311.  
312. This was brought to my attention by a fellow ham radio operator, O.P.,
313. KF4TE, who attempted to use a program MacLogger.  I have personally
314. talked to Chris Lyons, VE3GUS, author of MacLogger and confirmed that
315. his software WAS written in QuickBasic.
316.  
317. JIM
318.  
319. ************** From the Desk of Mr. James M. Vavrina **************
320. *            Comm 703-355-0010/0011  AV 345-0010-0011             *
321. * DDN: SDSV@MELPAR-EMH1.ARMY.MIL  AMPR: KA4USE @ KA4USE.VA.USA.NA *
322. *******************************************************************
323.  
324. ------------------------------
325.  
326. Date:    11 Apr 90 12:28:16 +0000
327. From:    nilsh@kuling.UUCP (Nils Hagner)
328. Subject: Virus on Apollo? (UNIX)
329.  
330. Does anyone know whether any viruses have been found on Apollo
331. workstations? In that case, are there any available anti-virus tools?
332.  
333. ==============================================================
334. Nils Hagner | UPMAIL: nilsh@emil.csd.uu.se                   |
335.             | Infologics: nilsh@infolog.se                   |
336. ==============================================================
337.  
338. ------------------------------
339.  
340. Date:    11 Apr 90 12:55:19 +0000
341. From:    berg@cip-s02.informatik.rwth-aachen.de (SRB)
342. Subject: Re: Validating Virus Software
343.  
344. In article <see References:> (Gary Mathews) writes:
345. >In fact, a list of must commonly used programs should be included on
346. >such a list, but for now the validated strings of the lastest versions
347. >for the scan and clean programs should be publically accessible.  Many
348.  
349. I always wondered: shouldn't the crc-32 and crc-16 of zip and arc files be
350. unique enough to validate any file?
351.  
352. Why can't we just put these checks and the length of a file on the net.
353. If you insist, then of course you could add any propietary validation values
354. like the ones obtained from the validate program.  But I'm pretty sure that
355. most people trust their favorite zip or arc program more than some kind
356. of a so-called validate program.
357. - --
358. Sincerely,                         | berg@cip-s01.informatik.rwth-aachen.de
359.            Stephen R. van den Berg | ...!uunet!mcsun!unido!rwthinf!cip-s01!berg
360.  
361. ------------------------------
362.  
363. End of VIRUS-L Digest
364. *********************
365. Downloaded From P-80 International Information Systems 304-744-2253
366.