home *** CD-ROM | disk | FTP | other *** search

---

/ The Unsorted BBS Collection / thegreatunsorted.tar / thegreatunsorted / bbs_file_lists / viraut7.txt

< prev

next >

Wrap

Text File  |  1997-07-27  |  42KB  |  537 lines

---

1. The Generic Virus Writer II
2.  
3. By Sarah Gordon
4.  
5. ⌐ copyright 1994 Sarah Gordon. First presented at The 6th International Virus Bulletin Conference,
6. Brighton, UK, September 1996. This document may not be reproduced in whole or in part, stored
7. on any electronic information system, or otherwise be made available without prior express written
8. consent of the author.
9.  
10. A brief summary of research on the ethical development of four individuals involved in the virus
11. writing subculture is given, followed by an examination of the current virus writing "scene". A
12. completely different type of virus writer is introduced. Recent developments, trends and forecasts
13. are presented, and some suggestions for minimizing the impact of virus writers both globally and
14. organizationally are considered. 
15.  
16.                  The Generic Virus Writer - A Brief History
17.  
18. Even in areas of scientific investigation, there can be the danger of overgeneralisation and
19. stereotyping. In the case of virus writers, one manifestation of this danger has been that of assuming
20. that there existed some homogeneous group of people who write viruses, that they were all ethically
21. deviant, and that it was possible to talk about the psychology of "the" virus writer. It was with this in
22. mind that we undertook our original research, which resulted in proving that there is no such thing as
23. the generic or homogenous virus writer. Along the way, we also learned that the virus writers we
24. spoke with were totally within the norms for ethical development. However, we were still left with
25. unanswered questions -- the foremost being "How do you stop people from writing viruses".
26. Following a brief summary of earlier findings, we will examine some of the issues which may help us
27. answer this question. 
28.  
29. The Generic Virus Writer (TGVW) [1], completed in 1994, presented four case studies of
30. individuals involved in the virus writing subculture. The research data was obtained in part by using
31. surveys, and interviews, arranged via electronic mail (e-mail ), electronic chat and in-person
32. sessions. Information relating to the subjects' relationships, perception of self and others including
33. family and peer group, family history, and cognitive reasoning ability was collected. This data was
34. used to examine the individuals' moral development in light of ethical and moral developmental
35. models based on the research of Lawrence Kohlberg [2]. (Gender based issues in virus writing were
36. examined using the model developed by Carole Gilligan [3]). The individuals were selected from four
37. categories: 
38.  
39.    1.early adolescent 
40.    2.college student 
41.    3.adult/professionally employed individual 
42.    4.ex-writer of viruses 
43.  
44. The first three categories appeared to be generally representative of the comparatively small [4] virus
45. writing population. The ex-virus writer was an anomaly for reasons which we are yet unable to
46. measure. In TGVW, we traced ethical development of one individual chosen from each of the four
47. categories. We found these individuals to be within the norms for ethical development as defined by
48. longitudinal studies done by Kohlberg [5]. Based on our findings, we predicted that the youngest of
49. the virus writers would slowly begin to disassociate himself from virus writing. We showed how we
50. expected the next oldest person to stop writing viruses very soon, and stated we expected the
51. ex-virus writer to continue to refrain from virus writing. We felt the adult could easily continue to
52. distribute viruses, as he had passed the age range during which one would be expected to
53. disassociate from the behaviour. Over the past three years (two years since the presentation of the
54. original work), we have maintained contact with three of the four subjects. Let us examine how well
55. we managed to predict the paths they would follow, based on our research and Kohlberg's model. 
56.  
57. The adult in our original study initially exhibited an ethical developmental model lower than average
58. for his age. Whereas adult males typically are shown to have development on the Kohlberg scale of
59. at least 4, and sometimes 5, our adult did not demonstrate a 5 (or 6) at any time. He has,
60. unfortunately but unsurprisingly, continued to distribute viruses. He remains a polite and interesting,
61. albeit controversial, individual. 
62.  
63. The young man categorized as an adolescent [typical Level 1 Stage 2] in our earlier research is now,
64. obviously, an older adolescent. He has apparently shifted from virus writing into virus distribution. He
65. publicly, amongst his peers, states virus writing is "wrong". He has, however, continued to be
66. involved in the virus writing subculture, although to a lesser degree than two years ago. He appears
67. to be progressing quite normally for his age, into Level 2 Stage 3. 
68.  
69. The college student has continued to exhibit an interest he expressed during our previous
70. conversations -- programming and communications. He has indeed stopped writing viruses and has
71. become professionally employed in the software industry, where he has held respected positions of
72. considerable responsibility. 
73.  
74. If research in the field of ethical development shows us anything, it shows us there are some reliable
75. standard models and that behaviour in one setting does not typify necessarily behaviour in other
76. settings. 
77.  
78. Integration of morality becomes more consistent, however, as one ages. This is exemplified by the
79. progression of this student. He initially stated virus writing was wrong, but that it was basically okay
80. if he did it in a way he considered to be non-harmful. Specifically, he never intended for any of his
81. viruses to affect users. "I wrote viruses for several reasons, I suppose, but primarily they were for my
82. own personal learning." Later, after being confronted by a user who had in fact caught one of his
83. viruses, he publicly stated that not only was virus writing harmful, but a wrong action for himself as
84. well as others, regardless of intent. He then stated he would no longer write viruses. Upon pressure
85. from peers, he stated he was going to live up to his words, and not do it any more. To the best of
86. our knowledge, he has held true to this statement. We asked him why he had not gone back to virus
87. writing despite observed pressure from peers. "There are probably four main reasons I have
88. remained retired", he stated. "First of all, I value my word very highly, and while I made no promises
89. when I retired, I still feel compelled to maintain what I stated". Time constraints, personal
90. involvement and no real reason to do it were cited as the other reasons. His Level 2 Stage 4 ethical
91. responses from two years ago appear to have progressed quite normally into Level 3, Stage 5
92. post-conventional morality. For those who are ethically within behavioral norms, but who are
93. involved in the virus writing subculture, "aging out" still seems to be the main force which contributes
94. to their stopping the actual virus writing. As they age, they are less vulnerable to peer pressure and
95. begin to integrate what they know is right behaviour into their actions, until eventually they simply do
96. the right things no matter what the situation is. Whether or not it will become the norm for those who
97. age out of the behaviour of virus writing to remain as part of the subculture has not yet been
98. determined. 
99.  
100. The ex-virus writer from our original study has continued to maintain a good relationship with both
101. parents and girlfriend. He has continued his non-involvement in virus writing. At the time of our
102. original project, he stated he had worked as a volunteer in the library and hospital environments.
103. Since that time, he has done work for a major software company, and continues to be trustworthy,
104. talented and a positive example for the younger individuals. He has this to say regarding peer
105. pressure: 
106.  
107. "They know that I have stopped; it's pretty obvious, at any rate. I don't feel excluded in any
108. way simply because coding isn't everything; most of the people never coded to any significant
109. degree to begin with. Anyway, I'm fun to talk to :) Or not. Maybe they just tolerate me. But I
110. think most of them like me whether or not I coded. Who I am and what I've done only gives
111. them more incentive to talk to me when I first meet them. At this point its irrelevant; it just
112. makes me the alpha male of the pack. So I can bully people around :)" 
113.  
114. To reiterate our original position: 
115.  
116. "Little reason exists to believe that crime and delinquency can be eliminated merely by the
117. fear of legal punishment alone. More evidence exists that fear of social disapproval and
118. informal penalties, criticisms and punishments from parents and friends may actually be a
119. greater deterrent to crime than legal punishments" [6]. 
120.  
121.                          The Unanswered Questions
122.  
123. During any discussion of virus writers, the question can arise: "Why did they do it?" Their own
124. answers and justifications still vary. Reasons for writing viruses which have been cited include relief
125. from boredom, actively seeking fame, exploration, malice, and peer pressure. 
126.  
127. There does, however, seem to be a notable absence of one reason which at one time was thought by
128. some to be a factor in encouraging virus production: the vX BBS. According to one respondent (and
129. this thought was mirrored by many), 
130.  
131.      "I don't think that the vX BBS was ever a real incentive for new viruses. I think
132.      that Todor's BBS was unique in this regard because of timing. At the time (forget
133.      that BBS' name; virus exchange?), very few viruses were readily available. And
134.      so it was difficult for novices who weren't proficient in assembly to learn how to
135.      write viruses. The best way to learn (at least Vesselin seems to make us think this
136.      way) was to call up the BBS and download Vienna, disassemble, and churn out
137.      new variants. By the time viruses became big in the U.S., I think that virus
138.      production had accelerated elsewhere in the world to feed the vX scene
139.      continuously. So U.S. people were lazy and didn't need to write viruses; they just
140.      needed to be good collectors. Additionally, the U.S. bbs's had a pitifully large
141.      number of non-viruses. Ambulance Car and the SPAM fiasco come to mind. I
142.      have yet to see a 'WWW virus scene' develop (is ILF on WWW?) I think the
143.      interesting thing to do on the WWW is to create a page which automates virus
144.      creation; i.e. set the parameters, run g2/ps-mpc, and return file to the user. the
145.      only thing really stopping this is the lack of source code for most virus
146.      generators. So the short answer is that the motivation for writing viruses hasn't
147.      changed much. These People write to get famous or because they're bored."
148.  
149. Is the way to stop them simply to allow them to grow up? This would be a viable solution if there
150. were not new ones coming along to step into their shoes. We will now turn our attention to the
151. current virus writing scene, i.e. the "Next Generation Virus Writers", discussing the current crop of
152. virus writers and exploring their impact on the general computing population. We will briefly examine
153. their responses to recent legal decisions related to virus writing, and to "acceptable use policies" of
154. Internet service providers and universities as we consider how these young people can best be
155. dissuaded from writing and distributing viruses. 
156.  
157.                             The Next Generation
158.  
159. Who are the Next Generation Virus Writers? Initially, upon reentering the old haunts of what was
160. once the virus underground, we found ourselves met by what appeared to be a violent, mouthy,
161. nasty group of obnoxious kids who had nothing better to do than talk about ways to hurt people and
162. destroy information. It was only a matter of a few days and a few conversations before what had
163. been so apparent (and what has provided many journalist with sensationalistic fodder) was in fact
164. found to be much the same type of "show" which we had observed years before. Actors, roles and
165. scripts are used not only on stages, but in communications between adolescent peers [7]. 
166.  
167. It initially appeared that some of the new breed were much leaner, meaner and more technologically
168. advanced, but while we eventually determined there was some evidence of a heightened awareness
169. of technology, for the most part these virus writers' abilities were generally observed to be
170. comparable to those of their predecessors. There are some exceptions: 
171.  
172.      "I guess people may write to be famous, but in my opinion, the better the AV
173.      programs get, the more motivated some people will be. I for example get my
174.      motivation from challenging AV programs. As they get more advanced (i.e.
175.      better behaviour blocking, heuristics, etc.,) the more of a challenge and therefore
176.      motivation there is. People in it just for the fame generally fail...there has to be
177.      some technical motivation".
178.  
179. The geographical hot zones had changed. Australia and Sweden/Norway now seem to dominate the
180. virus scene. This should be no surprise: the scene was Bulgarian [8] before it was Canadian, and for
181. a while it was American. Quoting an anonymous source: "The Internet in general -- anonymous,
182. cheap, global communications. Better than any BBS." " The Internet has enabled us to spread
183. the scene around. its easier to talk directly with people from around the world about viruses",
184. said another virus writer, "though very little has gotten done in the past few years, at least from
185. the standpoint of organized virus groups." In fact, most of the virus writers thought the good old
186. days were gone for good. When asked for comments about the relative stability of the virus writing
187. scene during the course of this study, we received various comments. 
188.  
189. Rock Steady, former front man for the virus writing group known as NuKE, was said to have a
190. "dead end job as a bank teller or parking attendant". Aristotle, sometimes NuKE, sometimes
191. not, was frequently cited as still "on the scene", and it was suggested by many that he appears to be
192. a permanent fixture. To quote one individual, "Aristotle never changes. He needs his own little
193. world ... so cannot risk changing it." Few people remembered the name Masud Khafir, and many
194. of the other FIDONet Virus and Virus_Info participants were not mentioned at all. Groups that once
195. dominated the scene were almost a non-issue. According to one virus writer, 
196.  
197.      "There was a funny pattern that emerged from the virus scene -- rabid begat yam
198.      begat NuKE begat VLAD. The groups are all the same. They crave attention yet
199.      lack talent. They talk loudly but have no substance behind it. It's pretty sad.
200.      Damn near every one of the VLAD viruses is part of the "intended family".
201.      Another group, dc, appears to be thought of as somewhat of a successor to
202.      NuKE."
203.  
204. Another virus writer, used this word-play to comment on one of the Australian-based groups: 
205.  
206.      "VLAD went for total global domination. At least they INTENDED to".
207.  
208. The ages of the virus writers still varied, with one virus writer stating age 20 appeared to be the
209. average age of his peers. Questioned further, he stated he had in fact asked them and that 20 was
210. both the median and mode, with 20.74 being the mean age. We have no idea how large his sample
211. was, but do admire his approach. The views we found on social life, society, and anti-virus software
212. have not changed much: i.e. there was still no Generic Virus Writer. 
213.  
214. Universities seem to be spawning more virus writers now, but this is not surprising. At the recent
215. IFIP TC11 Conference in Samos, Greece, a workshop for Education and Information Security [9]
216. was held, during which one professor stated he was aware of some virus writers in his University,
217. but they were in another department, not his. This seemed to be a matter of little concern for him and
218. in fact, he had virus writing as an acceptable "exercise" in one of his security courses. Another
219. professor has been observed on the WWW, offering NATAS as a simple virus for new assembler
220. students to "examine"[10]. The role of students is usually to learn, and with viruses being taught or
221. tacitly condoned, we should not be suprised at the form of education or its outcome in these
222. circumstances. 
223.  
224. There was a more heightened awareness of "responsible behaviour" on the part of the people we
225. spoke with, and they were willing to discuss this with us in depth. We found that in spite of this
226. willingness to discuss the issue, the definition of what constitutes responsible behaviour was varied.
227. Generally, making viruses available via CD-ROM, FTP, or BBS to the willing/knowing was seen as
228. responsible management of viruses. While we were unable at this time to do extensive survey or
229. study of these virus writers, the fact that the slightly-older virus writers appear to be within ethical
230. norms, with the exception of their activities related to viruses, leads us to hypothesize that viruses are
231. not seen as the "bad things" they once were. 
232.  
233. The majority of virus writers we talked to have much more clearly defined goals than were found in
234. the "good old days". Programming and other jobs in computer related fields dominate. Some of them
235. already have such jobs. This brings us to the next topic, the Next Age Virus Writer. To be sure,
236. there is a new breed of virus writers. However, we suggest to you that it is not merely the old breed
237. repackaged and gently aged: not the young, bored, fame-seeking youth of the past, residing in
238. different countries with the same general skillset which we have just discussed. Certainly, that sort of
239. virus writer still exists. We see him embodied in viruses like Boza[11]. He is the sort of virus writer
240. who forces software prices up by flooding the market with simple viruses which are more
241. annoyances and irritations than real threats. Most of his creations are never even found in the wild
242. and if the numbers game would self-destruct, his impact would be even more minimal [12].
243. However, the virus writers who appear to be having the real impact are those with real skills, talent
244. and perseverance - programmers with style and elegance, who, unlike virus writers of the past, could
245. make a living writing real software. According to an ex-virus writer who wishes to remain
246. anonymous: 
247.  
248.      "You have to be smarter today than you had to back when the scene started
249.      simply because viruses today incorporate so many features. Polymorphism, for
250.      example, was unheard of 5 or 6 years ago (ok, not unheard of, but it was not a
251.      standard technique). Today, if you can't do poly, don't even bother. Stealth, too,
252.      is something that you simply must know how to do. Viruses are more
253.      sophisticated than ever." He continued: 
254.  
255.      "So you either have to be smarter or more experienced, i.e. older, than you had
256.      to be in the past. I think most people who were in the scene have aged out and
257.      stopped, as you say. As for people starting, I haven't heard of too many
258.      newcomers to the scene. Have you?"
259.  
260. While we must not underestimate the contributions of user apathy and global connectivity, we are
261. now technologically somewhat more prepared for the types of virus virus writers we have discussed
262. so far. However, we are not prepared for the new spawn of virus writing subculture: The New Age
263. Virus Writer. 
264.  
265.             No More Secrets: Demystification and Legitimization
266.  
267. As we have shown, much of the secretive atmosphere which was pervasive throughout the virus
268. writing underground has given way to a new openness. This openness has been facilitated in part by
269. a the media. In WIRED, we find "Viruses Are Good for You"[13] suggesting that many of the
270. "most promising visions of how to coordinate the far-flung communication and computing
271. cycles .....converge on a controversial solution: the use of self-replicators that roam the Net."
272. The individuals examined as virus writers in the article are referred to as "developers interested in
273. harnessing the power of self-replicating programs, scientists interested in the abstract behaviours of
274. viruses", and "unnamed renegades of the virus writing underground". The article goes on to discuss
275. the virus as a fascinating and powerful life form, seen by the creators as useful for "the fertile creation
276. of yet more powerful digital devices" and "reckless individual expression". The anti-virus community
277. is described at one point as "nervously policing the boundary between the great unwashed and those
278. trustworthy enough to handle 'live' specimens......the world of anti-virus research offered its initiates a
279. thrill somewhere between the delightful romance of butterfly collecting and the grim camaraderie of
280. working for the National Security Agency". Mark Ludwig, one of the subjects discussed in the
281. article, is described as wandering the "lonely intellectual wilderness reserved for those who practice
282. science on the fringe, outside the cozy realms of institutional affiliation, professional consensus or
283. methodological decorum". While the article does suggest Ludwig could present his subject with a
284. little more sober attention to devising anti-virus countermeasures, it does not draw any conclusion on
285. his contribution to the legitimization of virus writing. It does not mention the impact of the viruses
286. which were made available on CD-ROM by Ludwig; specifically, the fact that these CD-ROMS
287. have helped bring the computer virus into many businesses and households as part of "anti-virus test
288. material", despite the fact that such materials are unsuitable for testing [14]. While the article does
289. point out that many see the virus writing books as incitement to digital vandalism, it does also state
290. Ludwig has elevated the computer virus from the digital equivalent of a can of spray paint to an
291. object of almost lifelike behaviour. The article states he "transformed a tool of vandals into a field of
292. scientific study", although we would argue he has in fact given virus writers a sense of legitimacy as
293. they carry out their own brand of unscientific "research". The article concludes with this offering: "For
294. executable DOS virus code on disk, send a check for $US50 (payable to Virtual Life) to xxxxxxxx"
295. (Address deleted). 
296.  
297. The sale of viruses is but one of the ways in which the entire "virus writing underground" has become
298. a more accepted "above ground" community (one might argue that virus writing has always gone on
299. above ground - but that is a topic for another paper.). The "Webification" of vX sites has essentially
300. removed the "I'll show you mine if you'll show me yours" attitude to virus collections and exchange.
301. Infectious code is now just a point and click away. While there is deliberate flippancy here, there is
302. an important point to be made. By allowing viruses to be made readily available via the WWW, we
303. as a society have demystified them; some would say we have even legitimized them. Of course, it
304. can be argued that to disallow such "information" to be distributed would constitute censorship. This,
305. too, is beyond the scope of this paper. However, we have observed that exposure of the computing
306. community to Web sites which contain many thousands of viruses, all available for download, tends
307. to contribute to the desensitization of the population on the inherent dangers involved. Virus
308. distribution is much more acceptable now than it was even two or three years ago. 
309.  
310. Another development brought by the Internet is the somewhat curious group alt.comp.virus [15].
311. Here, a bizarre collection of industry experts, virus writers, and users gather to debate the latest
312. viruses and their countermeasures. The group, which was allegedly formed to overcome the
313. "censorship" of the more restrained virus-L (comp.virus) was initially utilized by those who wanted to
314. distribute or exchange virus code. However, of late it has become significantly more balanced, and
315. even has its own FAQ, credited with appropriate thanks to Dr Alan Solomon, Vesselin Bontchev,
316. Rob Slade and other "good guys". The newsgroup has by its evolution encouraged people who do
317. not approve of virus writing and/or distribution to say so in a public forum. However, individual
318. differences combined with the international nature of the Internet have continued to work together to
319. highlight one real stumbling block to agreeing on what constitutes "responsible behaviour". The
320. interactive nature of the group is an excellent opportunity for rational positions regarding the unethical
321. nature of virus writing and distribution to be presented, and for this reason, should be encouraged.
322. Such interactions can only lead to eventual understanding on the part of those still forming their own
323. value and belief systems, and may encourage others to think their positions through more carefully.
324. Notwithstanding, in August of 1996, there could be counted a number of posts which contained
325. either a plea for virus sites, URLs to virus sites or uuencoded virus code, both in binary and source
326. formats. Once again, the desensitization continues. Virus writing is very definitely becoming more
327. mainstream. Perhaps this must happen before it can be examined and determined unacceptable
328. behaviour. Only time will tell if this is the case. 
329.  
330. In many ways, the mainstreaming of virus writing was made more clear during the furor regarding the
331. "discovery" of the Boza virus. The following quote is taken from an interview with the alleged author
332. of the virus [16], and provides interesting food for thought: 
333.  
334.      "Bizatch [Boza] was completed in late November last year. We went into beta
335.      testing in early December, which basically meant handing it over to people we
336.      knew who were running odd configurations of Windows 95. Testing was
337.      completed in mid-December and I fixed a number of bugs - we found that it killed
338.      certain 'new' Windows 95 executables..."
339.  
340. The introduction of formal Beta test cycles for viruses should be cause for anyone who believes that
341. we are winning the fight against computer viruses to carefully reconsider their position. 
342.  
343.                         Who is the New Age Virus Writer?
344.  
345.      "Our cultural motifs, our educational system, our communications media had
346.      failed this man. What the society permitted to trickle through was mainly
347.      pretense and confusion. It never taught him how to distinguish real science from
348.      cheap imitation. He knew nothing about how science works".
349.  
350. This quote from The Demon Haunted World [17] exemplifies our observation of the media and in
351. some cases, the international educational system's approach to computer viruses. While it was
352. written by Carl Sagan to illustrate the ways in which many New Age tenets or premises are actually
353. pseudoscience embraced by those who had not been exposed to real science, it applies in no small
354. portion to our observations of virus writers and more importantly to those who have a good deal of
355. influence on potential virus writers. It is our belief that many of those who contribute to virus writing
356. via media representation, arguments of "free speech", actions based in large part on some type of
357. situational ethics, and calls for university "research", do so largely because they are unfamiliar with
358. the technical scientific information related to viruses [18]. They choose instead to follow whatever
359. the current trends are, be they vX BBSs, "research" for the most politically naughty virus, or
360. acceptance of acts which may put them or their company at significant risk of data loss because it is
361. easier to do these things than to examine and accept the facts about viruses. For this reason we have
362. called our next group of virus writers "The New Age Virus Writers". 
363.  
364. Given the sorts of influences briefly discussed above, the appearance of yet another new type of
365. virus writer is not wholly unexpected. The New Age Virus Writer seems to have two incarnations.
366. The first is the most familiar and is the type we will discuss in this section. This type is the product of
367. boredom, curiosity, mixed messages and technological glut. We will consider viruses, methods and
368. possible motivations. The second observable type of New Age Virus Writer will then be examined in
369. the next section. 
370.  
371. As the writers of many of the new viruses are not well known, we are forced to draw conclusions in
372. some part from their creations. Perhaps one of the best examples of the work of the New Age Virus
373. Writer is Zhengxi, an extremely complex virus analyzed in Virus Bulletin in early 1996 [19]. This
374. analysis states: 
375.  
376. "At 7K long, it [Zhengxi] is one of the most involved [viruses] I have ever seen. It is a sort of
377. 'all-in-one' virus, which infects EXE and OBJ files, and attaches infected COM droppers to
378. ZIP, and RAR archives (both static and self-extracting). Its very complex polymorphism
379. resembles that of SMEG, but has loops often exceeding 2K in length, concealed by vast
380. quantities of junk subroutines, and Int 21h and CP/M calls. 
381.  
382. Zhengxi infects EXE files either by appending its code to the end of the file in the standard
383. manner, or by looking through the file for C or Pascal subroutines and modifying these to
384. execute the virus (as Lucretia). The OBJ infection technique is similar to that of Shifter [see
385. VB March 1995, p.11], and that of archive modification was first seen in Dementia [see VB
386. November 1995, p.12]." 
387.  
388. Even without specialist assembly language knowledge, it is easy to see that Zhengxi is more of a
389. programming exercise than a virus designed to spread. Its author must have known that the features
390. which he was adding were just a display of skill. Clearly, it is not the work of a child, but of a
391. programmer who could earn real money writing real programs in the real world. This is the world of
392. the New Age Virus Writer. 
393.  
394. As we have seen above, this sort of virus writer can be demonstrably more sophisticated. Consider
395. also the WordMacro/Concept [20] virus, currently one of the most widespread viruses in existence
396. according to some sources [21]. The source code for this virus demonstrates the use of the
397. Hungarian naming convention; a set of detailed guidelines for naming routines and variables. While it
398. is used within the C programming language, especially in Microsoft Windows programming, few
399. virus writers we spoke with were aware of it. [Note: according to Code Complete , "the term
400. "Hungarian" refers both to the fact that the names that follow the convention look like words
401. in a foreign language and to the fact that the creator of the convention, Charles Simonyi, is
402. originally from Hungary."[22] ] 
403.  
404. The New Age Virus Writer may be motivated by a desire such as some consider apparent in
405. WordMacro/Concept: to force applications designers to act in a certain manner. He may be trying to
406. prove their point in the only way they feel the applications designers will understand. He may be
407. motivated by a desire to use viruses in what he thinks is a "good" way, to help his company or
408. department gather certain information in what he hopes will be an unobtrusive manner [23]. 
409.  
410. The New Age Virus Writer worships at the altar of technology, and uses other's lack of
411. understanding of the issues and their implication as a vehicle to advance his own particular form of
412. magic. Consider this implementation of certain techniques: WordMacro/Spoof [24], which creates
413. its own custom dialogue box for Tools Macro, hiding the presence of its own installed macros.
414. According to the author of this virus, the only copy he has distributed was sent directly to me; thus,
415. the virus has not been distributed to any other researchers, in the hope of containing the technology.
416. (This is a recognized and approved course of action within the anti-virus industry when a researcher
417. strongly believes he or she has the only sample in existence of a particular virus.) In the world of the
418. New Age Virus Writer, there is access to powerful computing equipment. Unlike the early days,
419. even as recently as 2-3 years ago when the our initial study was begun, the viruses seem to indicate
420. there is now access to various operating systems, applications, and programming tools. 
421.  
422. You won't usually find the virus writers' names spattered all over their creations, or bandied about
423. the Internet; you will rarely find their creations first on virus exchange or virus WWW sites.
424. Observation shows these individuals tend to be a bit older and more cautious than the Next
425. Generation Virus Writer. They do not share "accomplishments" with peers, perhaps because they
426. are old enough to be held responsible for their negligence in releasing viruses. 
427.  
428. This type of virus writer is not likely to "age out" for two reasons. One, he is already an adult, and
429. two, the concept of "aging out" applies to behaviours which are perceived as morally unacceptable
430. by the society and which are left behind during the natural course of individual ethical progression .
431. As we have just shown, while virus writing may in reality be an unacceptable activity, the perception
432. of it fostered by the media, some adults, some Universities and some ISPs combine with the "Cult of
433. the Internet" to produce some very mixed messages. 
434.  
435.                      Stopping the New Age Virus Writer
436.  
437. We have speculated in the above that the New Age Virus Writer is somewhat older, employed and
438. does not make his identity known. Given this, how can we go about the job of stopping him? The
439. suggestions given below are made to facilitate a discussion on what may or may not be acceptable.
440. We do not in any way advocate government censorship or control of information: however, we feel
441. that responsibility must come along with freedom and for this reason do not find public virus
442. distribution acceptable. With this in mind, we have gathered various perspectives on controlling the
443. problems addressed herein. 
444.  
445. While laws to punish those who are caught intentionally spreading computer viruses to the
446. unknowing and unwilling are one tool which can be used to discourage this sort of negligent and
447. criminal behaviour, the nature of virus writing and distribution highlights the need for additional, more
448. effective tools. The main tool we have at our disposal is that of communication. We must attempt to
449. change the attitude of as many as possible regarding computer viruses. Obviously, this is the "big
450. picture" approach. Without cooperation from educators, legal policy makers, judiciary, parents, and
451. the media, there is little hope that the virus writing phenomenon will subside. It will continue to shift,
452. becoming more and less, less and more acceptable to engage in the activity. 
453.  
454. To discourage these sorts of behaviours, people may wish to consider voicing their displeasure
455. publicly. This could include informing their Internet service providers (who lend viruses an air of
456. credibility by allowing them to be distributed) that they consider this irresponsible and unacceptable.
457. This could also be made evident in several other ways: it may take the form of a vendor disallowing
458. distribution of their shareware from sites which openly allow virus distribution (such an approach has
459. been attempted by Frisk Software) or it may involve individual or corporate users discontinuing the
460. use of service from providers which allow users to make viruses available. Both of these suggestions
461. have been made publicly by members of the anti-virus community, but we have no way of knowing
462. the actual result. It has been suggested that it may prove effective to write letters voicing concern to
463. the appropriate persons at various service providers, or writing letters thanking those who act
464. responsibly. Universities, which in some cases are privately funded, may be open to suggestions from
465. supporters. Publicly funded universities have been known to investigate irresponsible behaviours of
466. other types once alerted; some people have tried informing universities which are known to have
467. viruses on their sites. However, according to one university site which wishes to go unnamed, the
468. person reporting the files as "unacceptable" first ftp-ed the entire virus collection before making his
469. report. This obviously sends a real mixed message, and should be avoided. 
470.  
471. Destructive behaviours should not be encouraged under the guise of "science": the problem with
472. viruses we find in many universities seems to be a lack of understanding on the part of most
473. professors of the issues involved. Taking an active role in the educational process at the university
474. level, and clearly voicing a concern over ethically questionable methods may help avoid placing the
475. university at risk from both a technical and PR standpoint. Vendors and users may wish to consider
476. advising testers who may be testing anti-virus products using questionable methods which are linked
477. to virus production or legitimization that such methods are unacceptable. It could prove effective to
478. disallow advertising in magazines which utilize such methods, or to write letters to the editors and
479. publishers, stating displeasure with the situation. Making a public issue out of irresponsible
480. behaviours has sometimes worked to discourage the behaviours. However, this kind of action can
481. have the opposite effect. Therefore, this should be considered a matter of individual discretion and
482. should not be undertaken lightly without full regard for possible ramifications. Finally, we as a society
483. must be willing to relay the message of responsible computing to our children, who may be
484. encouraged and influenced by the media and Internet culture. We recognize this is a long term
485. approach to the problem; there are no immediate solutions. 
486.  
487. There are, however, things you can do now to lessen the impact of the second type of New Age
488. Virus Writer, which we will now discuss. This type of virus writer has all the skills and motivations
489. mentioned so far in this paper, with the additional contributory factors of office politics and incorrect
490. organizational security policies. This type of virus writer may be working for you. 
491.  
492. One action you can take now is to examine your own company. Do you have IT staff , locally or
493. regionally, who can be found "playing around" with viruses? As we have shown, the secrecy and
494. contraband image of viruses is gone. The viruses are easy to obtain now and there is much less
495. stigma attached to both obtaining them and "learning". Macro viruses, written in well-documented,
496. easier to comprehend languages such as Visual Basic for Applications (VBA) are all too easy to
497. obtain, to understand and to modify or write. A well-intentioned IT Manager can inadvertently
498. modify an existing Macro virus while attempting to see what it does. Adding a REM comment could
499. create a new variant. If viruses are seen as something which can be toyed with at leisure (many
500. e-mail messages are received by some anti-virus vendors every week which contain the dreaded line
501. "I've played with the virus a bit and found...") there is always the danger that that exploration might
502. be taken, intentionally or unintentionally, too far. Regardless of the intent, the impact on a company
503. can be devastating. 
504.  
505. When you have a virus outbreak, it is imperative to find out where the virus came from. Of course,
506. this should be done not in a finger pointing or blaming manner, but as a routine part of your security
507. processes [25]. It should be determined that viral infections are not the result of, for instance,
508. in-house Web cruising of virus distribution Internet sites. Your security policies should outline
509. acceptable practice with those viruses which are discovered, and those practices should exclude
510. "experimentation" which can lead to accidental modification. This should apply whether the viruses
511. are .COM and .EXE infectors, Macro viruses, or any other sort of virus. Every so often, we get
512. reports of a new virus in the wild from a customer who has experienced a small outbreak of a "Zoo"
513. virus. Often, these viruses are buggy, and stand little or no chance of being globally successful; they
514. have been introduced to the company by an employee who was testing anti-virus software, or
515. "experimenting". 
516.  
517.                                   Conclusion
518.  
519. In this paper, we have continued the work started in TGVW, following the ethical development of
520. four virus writers. As predicted in the earlier work, those who have continued a normal ethical
521. development have aged out of virus writing. This may well continue to be the only effective way that
522. many of the current virus writers will stop. 
523.  
524. However, there are two disturbing trends developing within the virus writing community, and the
525. computing industry in general. First, there are virus writers who seem to be motivated by different
526. reasons than the old "virus underground". We believe that some of these virus writers are older and
527. more skilled than before. Viruses like Zhengxi and Concept point to an advanced knowledge of
528. programming techniques; the reasons for the development of attacks may well be changing. Coupled
529. with this is the steady legitimization of virus writing, making it "less wrong" in the eyes of the general
530. public. This will act to prevent those involved from "aging out" even if they follow a normal ethical
531. development, and is cause for significant concern to those in the anti-virus industry and all those
532. concerned about data security. This legitimization and desensitization contributes to the writing or
533. modification of viruses in companies as well as by the classic "Virus Writer". Whether we like it or
534. not, our own actions and words communicate to the next generation what is acceptable socially,
535. ethically, and legally and what is not. By our actions, or lack thereof, today, we ourselves are
536. creating the virus writers of tomorrow. 
537.