home *** CD-ROM | disk | FTP | other *** search

---

/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / bbs_file_lists / viraut4.txt

< prev

next >

Wrap

Text File  |  1997-07-27  |  34KB  |  679 lines

---

1. AN EXCERPT FROM "THE VIRUS CREATION LABS
2. A PRIEST DEPLOYS HIS SATANIC MINIONS
3.  
4. Everyone knows the best virus writers hang out on           
5. secret bulletin board systems, the bedroom bohemias
6. of the computer underground, right?  Wrong.  In                
7. mid-1992, a 16-year-old hacker from San Diego who called
8. himself Little Loc signed on to the Prodigy on-line service
9. for his virus information needs.  The experience was
10. not quite what he expected.
11.  
12. Prodigy had a reputation in 1992 as the on-line service
13. for middle-class Americans who could stand mind-roasting
14. amounts of retail advertising on their computer screens as
15. long as they had relatively free access to an almost
16. infinite number of public electronic mail forums devoted
17. to callers' hobbies.  Since Prodigy's pricing scheme was
18. ridiculously cheap per hour, it was quite seductive for
19. callers to spend an hour or two a night sifting through     
20. endless strings of messages just to engage in a little
21. cyberspace chit-chat.
22.  
23. Into this living-room atmosphere stepped Little Loc, logged
24. on as James Gentile, looking for anyone to talk with about
25. computer viruses, particularly 
26. his idea of properly written computer viruses.  Little
27. Loc, you see, had written a mutating virus which infected
28. most of the programs on a system dangerously quickly.      
29. If you were using anti-virus software that didn't properly
30. recognize the virus - and at the time it was written none
31. did - the very process of looking for it on
32. a machine would spread it to every possible program on 
33. a computer's hard disk. While many viruses were trivial 
34. toys, Satan Bug, which is what Little Loc called his      
35. program, was sophisticated enough to pose a real hazard.
36. The trouble was, Little Loc was dying to tell people    
37. about Satan Bug. But he had no one to talk to who would 
38. understand.  That's where Prodigy came in.             
39. Prodigy, thought Little Loc, must have some hacker     
40. discussions, even if they were feeble, centered on viruses.
41. It was a quaintly naive assumption.
42.  
43. The Satan Bug was named after a Seventies telemovie starring
44. George Maharis, Anne Francis and a sinister Richard       
45. Basehart in a race to find a planet-sterilizing super
46. virus stolen from a U.S. bio-warfare lab.             
47. Little Loc had never actually seen the movie, but he'd   
48. run across the name in a copy of TV Guide            
49. and it sounded cool, so he used it for his digital        
50. creation. Satan Bug was the second virus he had electronically
51. published.  The first was named Fruitfly but it was a
52. slow, tame infector so the hacker didn't push it.     
53.  
54. A bigger inspiration for Satan Bug was the work of the
55. Dark Avenger, the shadowy Bulgarian virus programmer whom
56. anti-virus software p.r. men and others had elevated to
57. the stature of world's greatest virus writer.  Little Loc was fascinated
58. by the viruses attributed to Dark Avenger.  The Dark Avenger
59. obviously knew how real computer viruses should be written,
60. thought Little Loc. None of his programs were like the silly
61. crap that composed most of the files stocked by the
62. computer underground.  For example, his Eddie virus - also
63. known as Dark Avenger - had gained a reputation as a program to
64. be reckoned with.  It pushed fast infection to a fine art,
65. using the very process anti-virus programs used to examine
66. files as an opportunity to corrupt them with its presence.
67. If someone suspected they had a virus, scanned for it and
68. Eddie was in memory but not detected, the anti-virus
69. software would be subverted, spreading Eddie to every
70. program on the disk in one sweep. Eddie would also            
71. mangle a part of the machine's command shell when it jumped
72. into memory from an infected program.            
73. When this happened, the command processor would reload
74. itself from the hard disk and promptly be infected, too.
75. This put the Eddie virus in total charge of the machine. 
76. From that point on, every sixteen infections, the virus
77. would take a pot shot at a sector of the hard disk,
78. obliterating a small piece of data.  If the data were       
79. part of a never-used program, it could go unnoticed.       
80. So as long as the Eddie virus was in command, the           
81. user stood a good chance of having to deal with a slow,
82. creeping corruption of his programs and data.             
83.  
84. Little Loc was a good student of the Dark Avenger's       
85. programming and although he was completely self-taught,   
86. he had more native ability than all of the other virus    
87. programmers in the phalcon/SKISM and NuKE hacking groups.
88. "[Virus writing] was something to do besides blasting furballs
89. in Wing Commander," he said blithely when asked about
90. the origins of his career as a virtuoso virus writer.
91.  
92. Accordingly, the Satan Bug was just as fast an infector as
93. Eddie and it, too, would immediately go after         
94. the command shell when launched into memory from        
95. an infected program.  But Satan Bug was very            
96. cleverly encrypted, whereas Eddie was not,             
97. and it extended these encryption tricks so that it 
98. was cloaked in computer memory, a feature somewhat   
99. unusual in computer viruses but popularized by another
100. program called The Whale which intrigued Little Loc.
101.  
102. The Whale was a German virus which - theoretically -
103. was the most complex of all computer viruses.  It
104. was packed with code which was supposed to make it 
105. stealthy -- invisible to certain anti-virus software   
106. techniques.  It was armored with anti-debugging code  
107. and devilishly encrypted, designed purely to             
108. flummox anti-virus software developers trying to examine it.  
109. They would often mention it as an example of a super 
110. stealth virus to mystified science and technology    
111. writers looking for good copy. In practice, The
112. Whale was what one might call anti-stealth.               
113. Although it was all the things mentioned and more,
114. when run on any machine, The Whale's processes  
115. were so cumbersome the computer would be forced to
116. slow to a crawl. Indeed, it was a clever fellow who could
117. get The Whale to consent to infect even one program.
118.  
119. The Whale appeared to be purely an intellectual       
120. challenge for programmers.  It was intended to mesmerize
121. anti-virus software developers and suck them into
122. spending hours analyzing it. Little Loc, too, was   
123. drawn to it.  He pored over the German           
124. language disassembly of The Whale's source code.  
125. The hacker even made a version that wasn't encrypted,
126. pulling out the code which The Whale used to generate
127. its score of mutant variations. It didn't help. The
128. Whale, even when disassembled, was loathe to let go of      
129. its secrets and remained a slow, obstinately        
130. uninfective puzzle.
131.  
132. Have you picked up on the idea that Prodigy callers might
133. not be the perfect choice as an audience to       
134. appreciate Little Loc's Satan Bug?            
135.  
136. Nevertheless, Little Loc landed on Prodigy with a thud.  
137. He described the Satan Bug and invited anyone who   
138. was interested to pick up a copy of its source code at
139. a bulletin board system where he'd stashed it.  Immediately,
140. the hacker got into a rhubarb with a Prodigy member named
141. Henri Delger.  Delger was, for want of a better description,
142. the Prodigy network's unpaid computer virus help desk
143. manager.  Every night, Delger would log on and look for
144. the messages of users who had questions about computer
145. viruses.  If they just wanted general information, Delger
146. would supply it.  If they had some kind of computer glitch
147. which they thought might be a virus, Delger would hold their
148. hand until they calmed down, and then tell them what to
149. do.  And, for the few who had computer virus infections,
150. Delger would try to identify the virus and recommend
151. software, usually McAfee Associates' SCAN, which would
152. remedy the problem. 
153.  
154. Little Loc was annoyed by Delger, whom he thought was merely
155. a shill for McAfee Associates.  Since Delger
156. answered so many questions on Prodigy, he had a set of 
157. canned answers which he would employ to make the workload
158. lighter.  The canned answers tended to antagonize Little Loc
159. and other younger callers who fancied themselves hackers, too.
160. Prodigy's liberal demo account policy allowed some of    
161. these young callers to get access to the network under      
162. assumed names like "Orion Rogue." This allowed them to be
163. rude and truculent, at least for a few days, to paying 
164. Prodigy customers. These techno-popinjays, of course, 
165. immediately sided with Little Loc, which didn't do much for
166. the virus programmer's credibility.
167.  
168. There was often quite a bit of talk about viruses and Delger
169. would supply much of the information, typing up brief   
170. summaries of virus effects embroidered with his own 
171. experiences analyzing viruses. "You're not a          
172. programmer!" Little Loc would storm at Delger.
173. If you weren't a programmer, you couldn't understand viruses,
174. insisted the author of Satan Bug. Little Loc would correct  
175. minor technical errors Delger made when describing the
176. programs. In retaliation, Delger would calmly point out the
177. spelling mistakes made by Little Loc and his             
178. colleagues. It was quite a flame war.  On one side          
179. was Little Loc, who gamely tried to get callers to appreciate 
180. the technical qualities of some viruses.  On the other side
181. was a bunch of middle-aged computer hobbyists who were convinced
182. all virus writers were illiterate teenage nincompoops in 
183. need of serious jail time, or perhaps a sound beating.
184.  
185. The debates drew a big audience, including another hacker  
186. named Brian Oblivion, whose Waco, Texas, bulletin board,
187. Caustic Contagion, would provide a brief haven for Satan
188. Bug's author.  Little Loc, however, soon found other        
189. places that would accept his virus source code. Kim  
190. Clancy's famous Department of the Treasury Security
191. Branch system was among them.  Little Loc logged on and proffered
192. Satan Bug.  The Hell Pit - a huge virus exchange in
193. a suburb of Chicago - had its phone number posted on Prodigy
194. as was that of one called Dark Coffin, a system in eastern
195. Pennsylvania.  Dutifully, Little Loc couriered his virus to
196. these systems, too.
197.  
198. Satan Bug was a difficult virus to detect.  Although in
199. a pinch you could find Satan Bug because of a trick          
200. change it made to an infected program's date/time stamp,   
201. for all intents and purposes Satan Bug was transparent          
202. to anti-virus scanners. And this window of opportunity  
203. stayed open for a surprising amount of time despite   
204. the fact that Little Loc had supplied the Satan Bug to
205. all the public virus exchanges patrolled by anti-virus   
206. moles.
207.  
208. Little Loc stood apart from other virus             
209. programmers who seemed to have little              
210. interest in whether their creations made it into   
211. the public's computers.  The real travel of his
212. virus around the world would grant him recognition 
213. like that of the Dark Avenger, he thought. So, he            
214. wanted people to take Satan Bug and infect                
215. the software of others, period.
216. Months later, after the virus had struck down the Secret
217. Service network clear across the continent, I asked
218. Little Loc how it might have gotten into the wild      
219. in large enough numbers so that it eventually found
220. its way into such a supposedly secure system.           
221.  
222. "I'll tell you this once and only once: Satan Bug had help!"
223. he said, simply.
224.  
225. After his Prodigy debut and before Satan Bug hit the  
226. Secret Service, Little Loc was recruited by the virus-writing
227. group phalcon/SKISM, changing his handle in the
228. process to Priest.  Joining phalcon/SKISM didn't necessarily
229. mean you were going to virus writing conventions in cyberspace
230. with other members of the group, but it was a badge of
231. status signifying to others in the computer underground who
232. required such things that you had arrived, as a virus writer
233. anyway.
234.  
235. Since Priest lived on the West Coast, however, and the brain
236. trust of phalcon/SKISM was located in the metro-NYC area,
237. there was little concrete collaboration between the two,
238. especially after Priest racked up a $600 telephone bill
239. calling bulletin boards.  Since Priest didn't hack free
240. phone service, his family had to pay the bill, which effectively
241. cut down on much of his long distance telephone contact with
242. bulletin board systems like Caustic Contagion in Waco, Texas.
243.                 
244. Caustic Contagion, for a short period of time, was one of the
245. better known virus exchange bulletin board systems.  Its
246. sysop, Brian Oblivion, had an extremely liberal policy with  
247. regards to virus access and carried a large number of
248. Internet/Usenet newsgroups which gave callers a semblance   
249. of access to the Internet. Caustic Contagion's other          
250. specialty, besides viruses, was Star Trek newsgroups and
251. for some reason which completely eludes me, the BBS's      
252. callers found the convergence of computer viruses and       
253. Star Trek debate extremely congenial.
254.  
255. Priest and another phalcon/SKISM virus writer named         
256. Memory Lapse would hang out on Caustic Contagion.        
257. Quite naturally, Oblivion's bulletin board was          
258. one of the first places to receive the                 
259. programmers' newest creations, often
260. before they were published in phalcon/SKISM's electronic        
261. publication, 40Hex magazine. 
262.  
263. Priest's next virus was Payback and it was written to punish
264. the mainstream computing community for the arrest            
265. of Apache Warrior, the "president" of ARCV, a rather    
266. harmless but vocal English virus-writing group which had   
267. been undone when Alan Solomon, an anti-virus software
268. developer, was able to convince New Scotland Yard's      
269. computer crime unit to seize the hacking group's equipment
270. and software in a series of surprise raids. Priest's Payback
271. virus would format the hard disk in memory of this event.
272. Payback gathered little attention in the underground, mostly
273. because few people knew much about ARCV and Apache
274. Warrior in the first place.
275.  
276. Another of Priest's interests was the set of     
277. anti-virus programs issued by the Dutch company,
278. Thunderbyte.  The product of a virus researcher
279. named Frans Veldman, the Thunderbyte programs were
280. regarded by most virus writers as the anti-virus        
281. programs of choice.  They were sophisticated,
282. technically sweet and put to shame similar software
283. marketed by McAfee Associates, Central Point Software,      
284. and Symantec, which manufactured the Norton Anti-virus.
285.  
286. One of Frans Veldman's programs, called TBClean,        
287. was of particular interest to Priest and others      
288. because it claimed to be able to remove            
289. letely unknown viruses from infected files.           
290. How it did this was a neat trick.  Essentially,             
291. TBClean would execute the virus-infected file            
292. in a controlled environment and try to take                 
293. advantage of the fact that the virus always had   
294. to reassemble in memory an uncontaminated copy
295. of the infected program to make it work
296. properly.  TBClean would intercept this action
297. and write the program back to the hard disk sans
298. virus.  Priest and virus writer Rock Steady, the
299. leader of the NuKE virus-writing group,           
300. had also noticed the phenomenon. Both tried writing
301. viruses that would subvert the process and turn
302. TBClean upon itself.
303.  
304. Priest wrote Jackal, a virus which - under the proper  
305. conditions - would sense TBClean trying to execute
306. it, step outside the Thunderbyte software's controls
307. and format the hard disk.  In theory, this made Priest's
308. virus the worst kind of retaliating program, with the
309. potential to destructively strip unsuspecting users'
310. hard disks of their data when they tried to disinfect
311. their machines. (It couldn't happen if you just
312. manually erased the Jackal-virus-infected program,
313. but many people who use computers              
314. as part of everyday work simply want the option of having
315. the software remove viruses. They don't want to
316. have to worry about the technicalities        
317. of retaliating viruses designed to smash their data
318. if they have the temerity to use anti-virus software.)
319.  
320. Of course, Jackal's development was deemed         
321. a great propaganda victory by the North        
322. American virus underground.  Rock Steady nonsensically
323. insisted Frans Veldman's programs were dangerous
324. software because TBClean could be made to augment a  
325. virus infection instead of remove it.             
326.  
327. Brian Oblivion immediately tried Jackal out.  It didn't 
328. work, he said, but only caused TBClean to hang up    
329. his machine.  This was because Jackal was version   
330. specific, explained Priest.  It would only work on certain
331. editions of the program.  In reality, this meant that
332. Jackal's retaliating capability posed little threat
333. to typical computer users, who had never heard of
334. the virus-programmer's favorite software, Thunderbyte,   
335. much less TBClean. Nevertheless, Priest continued to
336. write the TBClean subverting trick into his viruses,
337. including it in Natas (that's Satan spelled backwards),
338. which eventually got loose in Mexico City in the spring
339. of 1994.
340.  
341. All the routines to format a computer's hard disk and to
342. slowly corrupt data ala the Eddie virus, which        
343. Priest had designed his Predator virus to do, made
344. it clear the hacker cared little for any of the finer
345. arguments over the value of computer viruses which were
346. entertained from time to time by denizens of the underground
347. as well as academics.  Viruses were for getting your name
348. around, infecting files and destroying data, according
349. to Priest.  He just laughed when the topic of ethical
350. or productive uses of computer viruses -- such as the study
351. of artificial life -- came up.
352.  
353. In any case, by the fall of 1993, after Priest had
354. retired from the Prodigy scene, Satan Bug was         
355. generating its own kind of media-fueled panic.      
356.  
357. On the Compuserve network, hysterical government       
358. employees were posting nonsensical alarums             
359. about the virus in the McAfee Associates
360. virus information special interest group.
361.  
362. "Satan's Bug" was part of a foreign power's attempt
363. to sabotage government computers!  It was encrypted
364. in nine different ways and was "eating" your data!   
365. A State Department alarm had started!
366.  
367. Wherever the information about "Satan's Bug" was         
368. coming from, it was 100 percent phlogiston. Satan Bug was hardly
369. aimed at government computer systems. It did not "eat" anything
370. and although difficult for many anti-virus programs to scan, the
371. virus could be found on infected systems by making good use
372. of software designed to take a snapshot of the vital statistics
373. of computer files and sound an alarm when these changed, which
374. always happened when Satan Bug added itself to programs.
375.  
376. Even more amusing was the suspicion that Satan Bug had been
377. inserted on government computers by some undisclosed foreign
378. country, from whence it originated.  I suppose, however,
379. some people might consider Southern California a foreign country.
380.  
381. Priest enjoyed reading these kinds of things.  His virus was
382. famous, an obvious source of confusion and hysteria.
383.  
384. About the same time, the Secret Service's computer network
385. in Washington, D.C., was infected by the virus, which knocked
386. the infected machines off-line for approximately three
387. days.  News about the event was tough to keep secret among
388. government employees and it leaked.  The Crypt Newsletter       
389. published a short news piece in its September 1993 issue       
390. on the event and reported that the infection had                
391. been cleaned up by David Stang, formerly of the National   
392. Computer Security Association, but now providing anti-virus    
393. and security guidance for Norman Data Defense Systems in      
394. Fairfax, northern Virginia.
395.  
396. Jack Lewis, head of the Secret Service's computer crime    
397. unit, and two other agents flew out to interrogate          
398. Priest in his San Diego home in October of 1993.        
399.  
400. Lewis and the other agents gave Priest the third degree.
401. They shook a printed-out copy of The Crypt Newsletter       
402. containing the Satan Bug story in his face and did  
403. everything in their power to make Priest think he ought
404. to cease and desist writing computer viruses forthwith.   
405.  
406. "About the Secret Service, they weren't too happy about
407. [Satan Bug], and saw fit to pay me a little visit," recalled
408. Priest ruefully.
409.  
410. The agents wanted to know everything about Priest - his Social
411. Security number, where he'd travelled, even who the 16-year-old
412. worked for.  But Priest didn't work for anyone.            
413.  
414. "I'm not quite sure they believed me," he said.
415. "Apparently, they thought I worked for some anti-virus
416. company or something to write viruses.  Plus, they wanted
417. the sources for them."
418.  
419. The Secret Service men wanted to know, straight from the
420. horse's mouth, what Satan Bug did. "They said some victims were
421. worried their systems weren't completely clean because they
422. thought it might infect data files," Priest continued. "I told
423. them it wouldn't.  They also wanted my opinion on things which
424. surprised me, like different anti-virus programs and encryption
425. algorithms, including Clipper. I didn't ask why.
426.  
427. "Jack Lewis also said someone claimed I said 'All government
428. computers will be infected by December' or some such rubbish.
429. Apparently, they thought I wrote Satan Bug as a weapon against
430. the government or whatever, I can't be too sure . . ."        
431.  
432. Priest told them no, Satan Bug wasn't specifically aimed at
433. government computers, but it was hard to tell if the
434. agents believed him. They were trained to reveal little,
435. and to be unnerving to those interviewed.             
436.  
437. "They just stared," Priest said, "as they did in response to
438. every question I asked, including 'what's your name?'
439. I tried - really tried - to act cool, but my heart was pounding
440. like a hummingbird's."
441.  
442. The agents were keenly interested in Priest's other           
443. handles, all the viruses he had written, which, if any,       
444. computer systems he might have spread them on, the             
445. names of some phalcon/SKISM members and the structure
446. of the virus-writing group and details of their
447. hacking exploits.
448.  
449. Priest declined to say anything about the identities of members
450. of phalcon/SKISM. "I told them I knew nothing of the  
451. hackers and phreakers, and little more than you could pick up
452. from reading an issue of 40Hex."
453.  
454. Priest was more interested in other secretive agencies  
455. within the government.  He cultivated an interest in
456. stories about deep black intelligence agencies.  Perhaps
457. he envisioned himself writing destructive viruses as part   
458. of a covert weapons project for one of them.         
459.  
460. "Aren't there any other agencies which would be more
461. interested in what I'm doing?" Priest asked the agents.
462. He didn't get an answer.
463.  
464. Eventually, the Secret Servicemen went away       
465. with a Priest-autographed printout of the source cod
466. to Satan Bug.
467.                  
468. Programming Satan Bug had turned out to be richly rewarding
469. for Priest.  Not only had it made him immediately recognizable
470. in the computer underground, it had made him feared in the
471. trenches of corporate America to the point where the Secret  
472. Service had felt compelled to intervene.
473.  
474. Since the Satan Bug panic was a golden opportunity for anti-virus
475. vendors to once again market wares, the stories in the
476. computing press kept coming.  LAN Times put the virus on
477. the front page of its November 1 issue with the headline,
478. "Be on the Lookout for the Diabolical 'Satan Bug' Virus."
479. LAN Times East Coast bureau chief Laura Didio
480. wrote "the Satan Bug is designed 
481. to circumvent the security facilities in Novell Inc.   
482. Netware's NETX program, thereby allowing it to spread
483. across networks."  While Satan Bug may have certainly
484. spread across networks, it had nothing to do with the
485. virus's design. It seemed no matter the truth about  
486. Satan Bug, the story just got more pumped up with
487. phlogiston and air as it rolled along.
488.  
489. "What's NETX?" asked Priest when he heard about the           
490. LAN Times article.
491.  
492. Of course, the LAN Times article accurately served as
493. an advertisement for the Satan Bug-detecting software
494. of Norman Data Defense Systems and McAfee Associates.            
495.  
496. Priest, meanwhile, continued to work on viruses.        
497. He had just completed Natas, which he'd turned over      
498. to the Secret Service and to phalcon/SKISM for publication
499. in an issue of 40Hex.  He also uploaded the virus to
500. a couple of bulletin board systems in Southern
501. California. And he finished a very small,           
502. 96-byte .COM program-infecting virus.                
503. And there were other things he was working on, he said.
504.  
505. The most interesting fallout from the Secret Service visit was
506. a job offer from David Stang at Norman Data Defense
507. Systems, said Priest.  Stang wanted the virus programmer
508. to come to work for him, starting in the summer of 1994,
509. after the hacker finished high school.             
510.  
511. Priest said Stang was interested in his opinion
512. about the use of virus code in anti-virus software.  
513. Such code wasn't copyrighted, so it was fair game.   
514. Priest thought this was a bad idea.  Too much virus  
515. code, in his opinion, was crappy anyway, so why would
516. anyone want to use it?  But Priest said he would think
517. about the job offer.
518.  
519. By May 1994, Priest's Natas virus had cropped up    
520. in Mexico City, where, according to one anti-virus software
521. developer, it had been spread by a consultant providing
522. anti-virus software services.  Through ignorance and
523. incompetence, the consultant had gotten Natas attached 
524. to a copy of the anti-virus software he was using.
525. However, like most of Priest's viruses, Natas was a bit       
526. more than most software could handle.  The software detected
527. Natas in programs but not in an area of the hard disk known
528. as the master boot record, where the virus also         
529. hid itself.  The result was tragicomic.  The consultant
530. would search computers for viruses.  The software would find
531. Natas!  Golly, the consultant would think,  "Natas is here!
532. I better check other computers, too."  And so, the 
533. consultant would take his Natas-infected software to
534. other computers where, quite naturally, it would also
535. detect Natas as it spread the virus to the master boot
536. record, a part of the computer where the software could
537. not detect Priest's program.
538.  
539. Natas had come to Mexico from Southern California.  The
540. consultant often frequented a virus exchange bulletin      
541. board system in Santa Clarita which not only stocked Natas,
542. but also the issue of 40Hex that contained its source
543. code.  He had downloaded the virus, perhaps not fully 
544. understood what he was dealing with, and a month or so
545. later uploaded a desperate plea for help with Priest's 
546. out-of-control program. You could tell from the date        
547. on the electronic cry for help -- May 1994 -- when Natas   
548. began being a real problem in Mexico.          
549.  
550. Natas was another typical tricky Priest program.  When in computer
551. memory, it masked itself in infected programs and made them
552. appear uninfected.  It would also retrieve a copy 
553. of the uninfected master boot record it carried encrypted in
554. its body and fake out the user by showing it to him if he tried
555. to go looking for it there.  Natas also infected diskettes
556. and spread quickly to programs when they were viewed,  
557. copied or looked at by anti-virus software. It was fair to
558. say that computer services providers wielding anti-virus
559. software in a casual manner ought
560. not to have been allowed anywhere near Natas.        
561.  
562. Back in San Diego, Priest was still being interviewed on the
563. telephone by David Stang and other associates at Norman
564. Data Defense Systems.  They were concerned that Priest
565. might leak proprietary secrets to competitors after hiring,
566. so it was a must that he be absolutely sure of the  
567. seriousness of his potential employment.                
568.  
569. By the end of the interview, Priest thought he didn't have
570. much of a chance at the job, but by July he'd accepted            
571. an offer and moved to Fairfax to begin working for         
572. David Stang.  This was the same David Stang who had written
573. in the July 1992 issue of his Virus News and Review magazine,
574. "In this office, we try to see things in terms of black        
575. and white, rather than gray . . . The problem is that     
576. good guys don't wear white hats.  Among virus researchers
577. are a large number of seemingly gray individuals . . .    
578. This grayness is clear to users. Last week, I asked my  
579. class if anyone in the room trusted anti-virus vendors.
580. Not one would raise their hand . . . "       
581.  
582. But what was Priest working on at Norman Data Defense       
583. Systems?
584.  
585. "A cure for Natas," he laughed softly one afternoon in     
586. late July, 1994, in the Norman Data office. Looking
587. over the virus once more, Priest        
588. sardonically concluded that his disinfector made it clear the
589. hacker had made Natas a little too easy to remove from    
590. infected systems. Norman Data Defense had clients in Mexico
591. and at the Secret Service.
592.  
593. You had to admire the moxie of the young American            
594. virus programmer. He'd set out in 1992 to emulate the  
595. world's greatest virus programmer, Dark Avenger, and 
596. ended up being paid cash money to cure the paintpots     
597. of computer poison he'd created. As for that poor stone
598. fool, the legendary Dark Avenger, he never even got   
599. a handful of chewing gum for his viruses, having the   
600. misfortune to have been born in the wrong place, Bulgaria,
601. at the wrong time, during the fall of Communism.
602.  
603. But by the end of the summer, the blush was off the rose
604. for Priest and Norman Data, too.  Another manager in the
605. office, Sylvia Moon, didn't like the idea of the hacker
606. working for the company, Priest said.  And when management
607. representatives arrived from the parent corporation
608. in Norway on an inspection tour and were appraised of        
609. Priest's status at a meeting, the hacker heard, they were
610. not pleasantly surprised to learn there was a virus writer 
611. on the staff.  Officially, said Priest, there was no
612. reaction, but in reality, the hacker felt, the atmosphere
613. was deeply strained.  Nevertheless, said Priest, 
614. David Stang maintained that he would protect the hacker's
615. position.  And Jack Lewis, said Priest, had contacted
616. the company to set up a luncheon date with the hacker
617. to discuss more technical issues.  However, Priest     
618. said, David Stang wanted Lewis to provide a Secret Service
619. statement to the effect that the hiring of the hacker
620. wasn't such a bad idea.  The luncheon fell through.       
621. The Secret Service would provide no such statement
622. because, said Priest, it might be construed as a
623. conflict of interest.  Unknown to him at the            
624. time, the agency had also started spying on             
625. his comings-and-goings in Fairfax.
626.  
627. It all came to an end when one of Priest's acquaintances
628. from the BBSes called the Norman Data office and left a
629. message for "James Priest."  Priest was immediately      
630. let go.  David Stang, said Priest, told him the call was  
631. an indication that the hacker couldn't be trusted, that
632. he was still in touch with the underground.              
633.  
634. Paranoia and recriminations flew.  There had been an intern
635. from William & Mary working at the company whose father
636. was a Pentagon official, said Priest.  The rumor was that
637. Priest had been pumping the intern for information on
638. how to penetrate Pentagon computers and siphoning it back 
639. into the underground.  It was nonsense, said the hacker,
640. but it became the official version of events.  These
641. were pretexts, thought Priest.  The real reason he had to
642. be shown the door, he said, was pressure from the higher-ups
643. in Norway.  They had been presented with him as a done-deal
644. hire and it hadn't set well, he said. David Stang, said
645. Priest, needed a reason to cut him loose and the phone call
646. from the friend had been the peg to hang it on.  Priest
647. was a hot potato and he had to go.
648.  
649. Back in San Diego once again, Priest almost sounded relieved.
650. He had a Sylvia Moon-autographed copy of a computer book
651. as a memento from the company and that was it.  However,
652. he had finally been able to videotape "The Satan Bug"
653. telemovie.  He shifted the VCR into replay and turned
654. to look at his computer while it was playing.  But the     
655. hacker said he still didn't know what the movie was about
656. when it was over.  He had been too busy at the PC to     
657. pay attention.  Working . . .
658.  
659. [Footnote:  All the Secret Service's contact with Priest
660. and his viruses and source code appears, in retrospect,
661. to not have been much of a learning exercise.  The organization
662. recently awarded a large contract to Symantec, the makers   
663. of the Norton Anti-virus, to provide insurance against     
664. computer virus attack.  The Norton Anti-virus has long 
665. been considered one of the worst choices imaginable        
666. for this type of service. Worse, its programming staff 
667. recently left en masse for greener pastures -- competitors like
668. IBM, McAfee Associates and Command Software -- rendering the
669. product dead in the water in terms of cutting edge technical
670. development.]
671.  
672.  
673. George Smith, Pasadena, CA
674. ----------------------------
675. From "The Virus Creation Labs: A Journey Into the Underground"
676. (American Eagle, ISBN 0-929408-09-8). 
677. Copyright 1996 Crypt Newsletter.  All rights reserved.
678.  
679.