home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / vir-docs / nk-info4.arj / VCLNEWS.DOX

< prev

Wrap

Text File  |  1992-08-18  |  12KB  |  221 lines

---

1.             **************************************************
2.             "VCL In The News" or "Preaching to the Committed
3.             On CSERVE's VIRUSFORUM" - analysis by URNST KOUCH
4.             **************************************************
5.  
6.       What follows are a number of messages gathered from CSERVE's
7.       VIRUSFORUM concerning the VCL and related topics.  Those
8.       who frequent the forum know that it's a SIG dominated by the
9.       opinions of 3 or 4 moderators from McAfee Associates and
10.       the NCSA. Now and then, some hapless, but earnest, schmuck 
11.       will pop up to express interest, curiosity or admiration 
12.       for various examples of dangerous code.  That's when all 
13.       the corporate stiffs jump in and club the poor fool to death 
14.       for his temerity.  I've included a few texts [with comments 
15.       where appropriate] to illustrate the rather petty nature of the
16.       electronic witch-burners.
17. --------------------------------------------------------------------------
18. Subj:  Virus Creation Utils                    Section: Virus News & Views
19. From:  C. Rutstein [NCSA]       75300,3104     # 12129, 3 Replies 
20.   To:  All                                     Date: 08/09/92 16:40:11
21.  
22. Hiya, folks.  I'm writing to get reaction on a disturbing trend on "the
23. other side".  Several virus-writing groups have now taken it upon
24. themselves to create virus creation utilities to aid both them and
25. others in writing viruses.
26. The first, of course, was the Virus Construction Kit, from Germany
27. several years ago.  This was a fairly rudimentary toolkit which went
28. almost nowhere.
29. We've all certainly heard about the next major utility...Dark Avenger's
30. Mutation Engine (MTE).  As a linkable module, it allows a second-rate
31. virus author to create a sophisticated polymorphic virus.
32. But what if you're not even a second-rate author?  Well, a fellow called
33. Nowhere Man with a group called [NuKE] has written the Virus Creation
34. Laboratory, which allows you to create a virus by picking items from a
35. menu.  The toolkit is done using Borland's TurboVision, meaning that
36. it's got all the nice little touches...pull-down windows, shadow boxes, 
37. mouse/color support, etc.  With it, virus creation is brought to the
38. masses...at least according to the accompanying documentation.  In
39. reality, all the viruses that can be created with it can be detected
40. with about a dozen scan strings.  No real problem. 
41.  
42. [So sez Charles Rutstein.
43. In the real world, the latest F-PROT (2.04) did NOT detect any of 
44. a number of test VCL variants I manufactured in an afternoon.  It will
45. detect some unencrypted samples as Vienna-related. However, if the 
46. simple encryption device is turned once, the detection slips. The
47. early-August VIREX release was ineffective, too. But don't expect
48. to see this mentioned on CSERVE.
49.  
50. However, it's naive to think that later versions of anti-virus
51. products won't detect VCL 1.0 variants. 
52. In truth, the templates for basic spawning, overwriting 
53. and .COM-appending viruses and their search structures 
54. can be spotted.  But the beauty of the
55. VCL is that it is open-ended.  By shot-gunning custom sequences or
56. novel routines into basic VCL code, unscannable or locally virulent viruses 
57. can and will be generated far more quickly than ever before. 
58. The brute-force scanning approach
59. will lag, probably badly. And this is the idea behind Nowhere Man's VCL. 
60. -Kouch]  
61.  
62. The latest utility is from Phalcon/Skism, another domestic
63. virus-authoring clan.  While I haven't yet had the time to break it
64. apart, it seems similar to the VCL, yet command-line driven.  I suspect
65. it will have the same shortcomings as the VCL.
66. So, what's next?  We've now seen three such utilities in the past few
67. months, as opposed to only a about half a dozen since 1987.  Clearly, 
68. this looks like a trend.  I'm sure we can expect menu-driven authoring
69. systems with MTE support very soon. [Charles Rutstein cribbed 
70. this from the docs to VCL 1.0. Nowhere Man clearly states that
71. this is a goal of VCL development.- Kouch] What scares me more is what's
72. next...I can't even imagine.  Sounds like more work and headaches to
73. me.  I could live without 'em.  Comments?
74.  
75.                                                 Charles Rutstein
76.                                                 NCSA Section Co-SysOp   
77.  
78. ----------------------------------------------------------------------------
79. Subj:  Virus Creation Utils                    Section: Virus News & Views
80. From:  Mark Hamilton            100013,600     # 12138, 1 Reply 
81.   To:  C. Rutstein [NCSA]       75300,3104     Date: 08/09/92 20:01:26
82.  
83. Charles,
84.  
85. Nowhere Man: Um, yes, now he raises one or two rather interesting
86. questions. This is the character who is claiming copyright on the
87. viruses created using his VCL - including on any signature strings
88. 'extracted' for use in anti-virus programs. Recently on this forum, 
89. another virus writer [Mark Ludwig, author of "The Little Black
90. Book of Computer Viruses" (American Eagle Publishing, Tucson, AZ)- Kouch]
91. claimed copyright and threatened to sue anyone who
92. infringed his rights. I publicly challenged him to sue me as a result of
93. my posting a message giving hexadecimal search patterns to one of his
94. viruses: two months on and I'm still waiting for the writ!
95.  
96. [Hamilton dissembles. This never happened. Hamilton had opened discussion
97. on the forum on Ludwig's book and stated something to the effect that
98. the published code was buggy, useless and a hazard.  Ludwig tried to
99. defend himself by stating that the bugs were a 
100. result of typos and that drawbacks of some of the viruses were mentioned 
101. in the text.  This is true.  Typos marred the code of the TIMID 
102. and INTRUDER virus listings.  These were corrected in a second edition and 
103. were not present on the book's companion disk which, apparently, Hamilton 
104. failed to notice. Enraged by Hamilton's attacks on CSERVE, Ludwig 
105. threatened to sue him for libeling his reputation and the book's veracity, 
106. NOT for posting a rudimentary search string. Why would Ludwig be
107. enraged by this? After all, he included a program to find the INTRUDER
108. virus with the book and disk. Hamilton is so full of shit in this regard,
109. he squeaks.
110.  
111. Further, Hamilton responded by inviting Ludwig's libel suit.
112. This all became increasingly silly when Ludwig was invited to speak
113. at the NCSA convention in Washington, D.C. and then denounced
114. by almost everyone.  In other words, Ludwig acted in good faith
115. and was set up to take a professional whack anyway. 
116.  
117. Understandably, Ludwig no longer posts much in response 
118. to queries about his book on the CSERVE forum. This is rather 
119. unfortunate. - Kouch]
120.  
121. The situation is that, just like any computer program, viruses can be
122. copyrighted providing that they are original works. It could be argued
123. that a virus built using a construction kit is not an original work and
124. therefore not copyrightable. It is permitted, under the Berne
125. Convention, [What in Sam Hill is this nonsense? This is pure 'Boy, am I smart!'
126. grand-standing, typical of the posts on the VIRUSFORUM. - Kouch] to select 
127. extracts from copyright works for 'review' or
128. 'illustratory' purposes (it is the work as a whole that is protected, 
129. not extracts). In the case of viruses, these extracts are the search
130. patterns. Providing these extracts (search patterns) are published by
131. those who use them, no copyright infringements have taken place.
132.  
133. Of course, it is going to be a very brave, or stupid, person who
134. attempts to enforce his copyright if his work is a virus. [I guess he just
135. doesn't appreciate Nowhere Man's sense of humor. - Kouch.] The courts may
136. view that a virus is excluded from copyright protection on the grounds
137. of either public interest or that it has been released into the public
138. domain in a way disclaiming copyright. 
139.  
140. Nowhere Man distributes and supports his wares through a West Coast
141. bulletin board run by the Phalcon/Skism group (of whom quite a lot is
142. known already in anti-virus circles) and mentions two of McAfee
143. Associates personnel (among others) in VCL's documentation.
144.  
145. This anarchic [anarchic? A made-up word. More 'Boy am I smart!' stuff. -Kouch] 
146. group should be tracked-down and prosecuted - there is now
147. precendence [sic] for doing this: David Blumenthal and Mark Pilgrim (from
148. Cornell
149.  
150.   [>> Continued in next msg]
151. Subj:  Virus Creation Utils                    Section: Virus News & Views
152. From:  Mark Hamilton            100013,600     # 12139, 1 Reply 
153.   To:  Mark Hamilton [sends messages to himself, doesn't want           
154.   anyone to let them pass into obscurity too quickly - Kouch.] 
155.   100013,600 Date: 08/09/92 20:01:00
156.  
157.   [>> Continued from previous msg]
158.  
159. University) will stand trial later this year for distributing a Mac
160. virus on bulletin boards and could be imprisoned for upto four years.
161.  
162. Mark.
163. ----------------------------------------------------------------------------
164. Subj:  Virus Creation Utils                    Section: Virus News & Views
165. From:  SysOp Aryeh Goretsky     76702,1714     # 12164, * No Replies * 
166.   To:  C. Rutstein [NCSA]       75300,3104     Date: 08/10/92 12:24:04
167.  
168. Hello Charles,
169.  
170. Instead of virus writers writing new viruses, they'll just use these
171. toolkits to make viruses that are already detectable by anti-viral
172. software.
173.  
174. [Simply not true. However, it never
175. hurts to gladhand the 'accepted wisdom' of your senior colleagues! - Kouch.]
176.  
177. Regards,
178.  
179. Aryeh Goretsky
180. --------------------------------------------------------------------------
181. Subj:  Virus Creation Utils                    Section: Virus News & Views
182. From:  SysOp Spencer Clark      76702,1713     # 12179, 1 Reply 
183.   To:  C. Rutstein [NCSA]       75300,3104     Date: 08/10/92 14:47:15
184.  
185. I honestly think the generic costruction kits have a long way to go
186. before they really challenge the anti-viral industry. 
187.  
188. [Pure ego here, Spencer. Why does the anti-virus industry feel 
189. it's the only one being challenged? Hasn't it occured to Clark that 
190. the multiplying viral population primarily challenges the average PC shmoe, 
191. whether the anti-virus industry comes up with some cumbersome
192. "magic bullet" or not? Just because effective software exists
193. doesn't mean anyone's going to use it.  This isn't a novel
194. idea. Think of HIV virus & rubbers. But I realize what you're driving
195. at: It never hurts to gladhand the 'accepted-wisdom' of your senior
196. colleagues! -Kouch.] 
197.  
198. What really amazes me is who has time for such ambitous efforts with
199. infamy being the ONLY satisfaction for these people.  They don't get
200. money, fame only in certain circles, and it is doubtful they can can
201. impress their dates with this stuff <g>.  If they get dates <G>.
202.  
203. [OOh, that's mean Spencer - a silly ad hominem attack of the type 
204. the Republicans are so good at. However, I do know what you're getting
205. at: It never hurts to glad-hand the 'accepted wisdom' 
206. of your senior colleagues! (And yes, I do know I'm repeating myself for
207. all you lip-readers in the cheap seats. Every read any Vonnegut or Hunter
208. Thompson?) -Kouch]
209.  
210. Spencer Clark <sysop>
211. ----------------------------------------------------------------------------
212.  
213.    So you see the VCL, Nowhere Man, NuKE and Phalcon/SKISM keep the lights 
214.    burning on CSERVE's VIRUSFORUM. But NOTHING stops the moderators from
215.    eventually getting back to telling each other how smart they are while
216.    avoiding substantive talk about how well scanners are really doing
217.    against new virus developments.
218.    Keep up the fine work!
219.    --Kouch
220. ____________________________________________________________________________
221.