home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CRYPT16.ZIP / CRPTLT.R16 next >
Encoding:
Text File  |  1993-07-01  |  53.6 KB  |  1,129 lines
  1.  
  2.  
  3.  
  4.  
  5.       ▄▄▄ ▄▄▄▄▄▄▄▄   ▄▄▄ ▄▄▄▄▄▄    ▄▄       ▄▄   ▄▄▄ ▄▄▄▄▄    ▄▄▄▄▄▄▄ ▄▄▄▄▄
  6.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█ █▒▒▒▒▒█  █▒▒█     █▒▒█ █▒▒█ █▒▒▒▒█  █▒▒▒▒▒▒█ █▒▒▒▒█
  7.      █▒▒█ ▀▀▀▀▀▀▀▀  █▒▒█ ▀▀▀▀█▒▒█  █▒▒█   █▒▒█  █▒▒█ ▀▀▀█▒▒█  ▀▀▀█▒▒█ ▀▀▀▀▀
  8.      █▒▒█           █▒▒█ ▄▄▄▄█▒▒█   █▒▒█ █▒▒█   █▒▒█ ▄▄▄█▒▒█     █▒▒█
  9.      █▒▒█           █▒▒█ █▒▒▒▒▒█    ▀▀ █▒▒█     █▒▒█ █▒▒▒▒█      █▒▒█
  10.      █▒▒█           █▒▒█ ▀▀▀▀█▒▒█      █▒▒█     █▒▒█ ▀▀▀▀▀       █▒▒█
  11.      █▒▒█ ▄▄▄▄▄▄▄▄  █▒▒█      █▒▒█     █▒▒█     █▒▒█             █▒▒█
  12.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█       █▒▒█    █▒▒█     █▒▒█             █▒▒█
  13.       ▀▀▀ ▀▀▀▀▀▀▀▀   ▀▀▀        ▀▀      ▀▀       ▀▀▀              ▀▀
  14.  
  15.                  NEWSLETTER NUMBER 16
  16.  
  17.  
  18.     ****************************************************************
  19.            EDITED BY URNST KOUCH, June-July 1993
  20.                CRYPT INFOSYSTEMS BBS - 818.683.0854
  21.        INTERNET: 70743.1711@compuserve.com or CSERVE: 70743,1711
  22.     ****************************************************************
  23.  
  24.     IN THIS ISSUE:  THE SORROW AND THE PITY - the story behind the
  25.     gutting of the Bureau of Public Debt's Security Branch BBS . . .
  26.     Stormbringer: Winner of first international virus-writing
  27.     contest . . . Sandia National Laboratory whisperings about
  28.     poison gas shipments gone bad in the New Mexican desert:
  29.     The Navajo "mystery illness" . . . The Bandwagon Syndrome:  more
  30.     non-functional anti-virus software . . . ASK MR. BADGER: media
  31.     watch with roving Sports Desk correspondent, Raoul Badger . . .
  32.     dismantling Microsoft Anti-Virus for DOS and Windows, politely
  33.     . . . and much, much more.
  34.  
  35.  
  36.     ****************************************************************
  37.     -=The first section of this month's newsletter is dedicated
  38.     to the news events surrounding the break up of the hacker files
  39.     library on the U.S. Bureau of Public Debt's Security Branch
  40.     BBS in Parkersburg, WVa.=-
  41.  
  42.     THE SORROW AND THE PITY:  THE NAKED TRUTH TAKES IT ON THE CHIN
  43.     AT AIS
  44.  
  45.     Early this month, the only professional security bulletin
  46.     board system run by the U.S. government worth visiting was
  47.     gutshot, the victim of a mounting campaign of
  48.     innuendo and anonymous gossip implying that it aided computer
  49.     criminals by granting easy access to virus source code and
  50.     dangerous hacker tools.
  51.  
  52.     Profiled initially almost a year ago in Computer underground
  53.     Digest, the AIS BBS, run by Public Debt security branch team
  54.     leader Kim Clancy, the system was trumpeted as a place
  55.     where security professionals and interested parties could come
  56.     to get the unvarnished truth about hacking, computer intrusion
  57.     and virus infection.  It delivered on the promise and more as
  58.     sysop Clancy amassed a truly comprehensive collection of
  59.     hacker files, including a basic library of commented virus
  60.     source code.
  61.  
  62.     The BBS was grandly successful, amassing over 1,000 registered
  63.     users who came as professionals, hackers, and curiosity seekers.
  64.  
  65.     But the distribution of hacker files and virus code was a
  66.     controversial idea, one which did not sit well with an "old-boy"
  67.     network of security professionals and anti-virus researchers and
  68.     software developers who comprise a loose professional/pan-
  69.     professional organization known as CARO, or the Computer Antivirus
  70.     Research Organization.
  71.  
  72.     After the Crypt Newsletter profiled Clancy in February of this
  73.     year, CARO member and Englishman Alan Solomon, Ph.D., the
  74.     developer of Dr. Solomon's Antivirus Toolkit took the opportunity
  75.     to jawbone a captive audience on the impropriety of virus source
  76.     code on AIS at a meeting of security professionals in NYC in
  77.     March.
  78.  
  79.     Also disturbed was Ken van Wyk, the moderator of Virus-L-Digest,
  80.     a weekly electronic mail collection distributed on the
  81.     INTERNET/USENET and dominated by the technical babble, gossip and
  82.     apocrypha of CARO members like Bulgarian researcher Vesselin
  83.     Bontchev and software developer Frisk Skulason.  None of this,
  84.     said Clancy, made any difference.  After all, the ramblings
  85.     of electronic mail digests - rantings in the vast electronic
  86.     ether of cyberspace are, generally, not taken seriously by
  87.     the vast majority of computer users who read them; they are
  88.     just part of the background radiation that everyone is used to.
  89.     Wyk's concern, she said, was just more of the same:  inaccurate
  90.     and technically silly complaints which had dogged the BBS
  91.     intermittently since its inception.
  92.  
  93.     But like a miraculous silver bullet in a storm of wild, ineffectual
  94.     buckshot, one anonymous letter finally undid all of Clancy's
  95.     work. Published in RISKS, another electronic mail forum originating
  96.     from SRI, an organization of computer security providers based in
  97.     the Silicon Valley, the letter, written by "anonymous" accused the
  98.     AIS BBS of distributing material that was illegal and unethical.
  99.  
  100.     "Anonymous" was immediately labelled a catspaw of Alan Solomon,
  101.     a tattletale, a squealer with a hidden agenda according to
  102.     Crypt sources in the computer security community, hardly the
  103.     government "whistleblower" portrayed by the The Washington Post
  104.     when the story broke nationwide on June 19.  In reality, "anonymous"
  105.     was Paul Ferguson, a Centreville native and obscure security
  106.     consultant and anti-virus software developer.  The Washington
  107.     Post stumbled badly in its presentation of the facts, choosing
  108.     not to tell readers, if indeed it even knew, that Ferguson
  109.     was "anonymous," portraying him as independent, unbiased supporting
  110.     testimony. Ferguson played his double-role on the pages
  111.     of The Washington Post to the max, pontificating on the dangers
  112.     of leaving virus code and hacker tools on a government BBS
  113.     where anyone could see and download them.  "That's like
  114.     leaving a loaded gun around and people saying, 'It's not
  115.     my fault if someone picks it up and shoots himself in the
  116.     head with it,'" he said.
  117.  
  118.     Ferguson had polished this act by pulling the same
  119.     "gild the lily" stunt in RISKS a few weeks earlier.
  120.     RISKS editor Peter Neumann published a Ferguson letter in support
  121.     of "anonymous"'s "whistleblowing," neglecting to inform readers
  122.     that Ferguson was the same man.  Interestingly, Neumann
  123.     chose not to publish any letters in support of Clancy and AIS
  124.     including one submitted by Frank Tirado, a USDA security
  125.     administrator. The Post also interviewed Neumann, who chose not
  126.     to inform reporter Joel Garreau, if indeed he knew himself, that
  127.     Ferguson and "anonymous" were the same.
  128.  
  129.     Also unknown to reporters in the mainstream media, Ferguson
  130.     was no stranger to underground "virus exchange" bulletin
  131.     board systems which he would occasionally access to gather
  132.     virus tools.  John Buchanan, the sysop of a Newport News/Virginia
  133.     Beach-based "Black Axis BBS", self-proclaimed as the "largest
  134.     virus exchange in the world" remembers Ferguson calling
  135.     him for virus code.  "He wanted the Trident Polymorphic
  136.     Engine because he couldn't find it anywhere else.  He pleaded
  137.     for it, so I gave it to him," said Buchanan in an interview
  138.     with the Crypt Newsletter about two months ago.
  139.     [The Trident Polymorphic Engine is a virus tool, inspired by
  140.     the Dark Avenger Mutation Engine, which confers complex, variable
  141.     encryption to any virus using it, often making the virus
  142.     transparent to conventional brute force anti-virus scanning
  143.     tools restricted to a simple, now obsolete "algorithmic"
  144.     approach.]
  145.  
  146.     This seemed contorted, hypocritical behavior from a man secretly
  147.     lobbying, along with CARO members Alan Solomon and Frisk
  148.     Skulason, for the removal of the AIS BBS's virus code library,
  149.     a code library much less complete than Buchanan's Black Axis
  150.     but much more accessible to relatively straightforward security
  151.     workers hesitant to dive into the deep, uncharted pools of
  152.     source code and live files found on many underground systems.
  153.     Also lost in the hysteria was the obscure fact that CARO members
  154.     had already helped themselves to virus source code on AIS.
  155.  
  156.     However, at the end of April, weeks after Ferguson's e-mail
  157.     sleight of hand had been played out in RISKS, AIS still
  158.     had its reputation.  It took a serendipitous fax from the
  159.     House's Committee on Space, Technology and Science requesting
  160.     a copy of the RISKS issue in question to panic bureaucrats
  161.     above Clancy at the Bureau of Public Debt.  Although the
  162.     requestor was never identified and no follow-up ensued, managers
  163.     worried that the sky was falling - surely a congressional
  164.     investigation was imminent.
  165.  
  166.     Calling a meeting to discuss the future of AIS BBS, managers thrust
  167.     aside arguments that removing the hacker files and code from
  168.     the BBS would only shoot security workers in the foot, depriving
  169.     the less-experienced among them of a source of code and techniques
  170.     already widely available throughout the U.S. to any 15-year old
  171.     with a modem and a minimal understanding of the word 'BBS'ing.'
  172.  
  173.     All the hacker files were subsequently removed from AIS BBS
  174.     and there were no further developments until the story
  175.     broke in the national press on June 19.  Associated Press
  176.     sent it around the world with a savagely inaccurate lead
  177.     proclaiming the bulletin board system had aided computer vandals.
  178.  
  179.     Where this fabrication came from is uncertain; what was
  180.     certain was that Kim Clancy's reputation was toast, thrown
  181.     into the barnyard muck and trampled by anti-virus software
  182.     developer-manipulated rabble from the newsmedia too easily
  183.     convinced that an out-of-control government agency had been
  184.     subverted by hackers into working for the forces of darkness.
  185.  
  186.     What was not covered in the press were questions establishing
  187.     the professional connections between its "expert sources"
  188.     and the double duty Ferguson was allowed to serve as
  189.     anonymous whistleblower"  and security expert/public good
  190.     watchdog. Nor was there was any mention of the bald-faced
  191.     cronyism required in the anti-virus/security
  192.     community so that Ferguson could plant himself at RISKS
  193.     and The Post with unblemished credibility.
  194.  
  195.     Clancy, who now regards anti-virus software developers as
  196.     unethical in the extreme, said that although AIS was still
  197.     on-line, this was only temporary. The virus
  198.     source code in question was being picked up by MindVox,
  199.     however, a commercial system based in NYC with links to the
  200.     INTERNET, an advertising budget, and far more users than AIS.
  201.     Meanwhile, ill winds on the networks were starting to
  202.     blow. Unnamed hackers, enraged by the scandal, were said to
  203.     be preparing to exact their pound of electronic flesh from
  204.     Ferguson.
  205.  
  206.     "Too my mind, the AIS BBS was one of the best applications
  207.     of my taxpayer dollars," said the USDA's Tirado angrily
  208.     during an interview for this story. "The spineless curs!"
  209.  
  210.  
  211.     PART II OF THE SORROW AND THE PITY: OP-ED AND ANALYSIS OF
  212.     THE NEWSMEDIA
  213.  
  214.     MORE FEAR AND LOATHING:  ON THE VIRUS CODE TRAIL AT AIS
  215.  
  216.     On Saturday, June 19, the national press suddenly reared up
  217.     and without warning, mangled the reputation of one of the
  218.     finest, most professional security experts I know, Kim Clancy of
  219.     the Bureau of Public Debt's Security Branch.
  220.  
  221.     I rolled out of bed Saturday morning, plugged into Compuserve's
  222.     Today's News and was promptly crushed by the brazen stupidity of
  223.     reporter Charles Bowen's newspiece, "GOVERNMENT BBS SAID TO
  224.     HAVE AIDED COMPUTER INTRUDERS AND VANDALS".
  225.  
  226.     Bowen plagiarized the lead, "A government spokesman says an
  227.     obscure bulletin board system run by a federal agency apparently
  228.     helped computer vandals commit electronic sabotage," directly
  229.     from a same-day Associated Press story called "Dial-A-Virus".
  230.  
  231.     But neither Bowen nor the AP offered a solitary shred of proof,
  232.     other than this outrageously leading statement, loosely
  233.     attributed to Public Debt spokesman Peter Hollenbach, that
  234.     Kim Clancy's AIS BBS has ever been responsible for abetting
  235.     documented cases of hacker intrusion or computer vandalism
  236.     by virus.
  237.  
  238.     Further, Bowen reported, "The [Washington] Post says that among
  239.     the visitors to the system were computerists using handles such
  240.     as 'The Internet Worm,' 'Satan's Little Helper' and 'Dark Avenger's
  241.     Mutation Engine.'"  The Washington Post story, reported by
  242.     Joel Garreau, said nothing of the kind, leading me to believe
  243.     Bowen is either a functional illiterate or willfully slack.
  244.     Indeed, anyone who has visited AIS knows beyond a shadow of a
  245.     doubt that the system NEVER supported handles of such nature.
  246.     [Of course, Bowen can respond by blaming it on a copy editor
  247.     and/or tight deadline, the last, best defense of lazy,
  248.     inaccurate newsmen the country over.]
  249.  
  250.     These vague insinuations, however, were as nothing compared to
  251.     the wellspring of the controversy, Garreau's "Treasury Exposed
  252.     Computer Virus Info; Whistleblowers Halted Display Available To
  253.     Anyone With A Modem" which brought into the public glare the
  254.     chain of events that resulted in the removal of hacker tools,
  255.     text files and commented virus source code from AIS.
  256.  
  257.     Although Garreau's story attempted to present a number of sides
  258.     it was packaged so that a general reader would get a picture
  259.     of a mad-dog government agency, finally "muzzled" after
  260.     distributing dangerous code to "every maladjusted sociopath
  261.     with Coke-bottle-bottom glasses."  More savagely irresponsible
  262.     was the sideborn statement that treasury officials had neglected
  263.     to "discipline" Clancy, instead merely removing the dangerous
  264.     information from her system.
  265.  
  266.     It was a real rabbit punch; a cheapjack, ham-handed slam on
  267.     Kim Clancy, successful in portraying her as someone who
  268.     spends her worktime beta-testing intrusion software against
  269.     her own department so that hackers might optimize their methods
  270.     for computer subversion and vandalism.  This is hair-raising
  271.     stuff, to be sure, for a general readership, but not the real
  272.     truth.  It is my understanding, and something I've seen
  273.     Kim Clancy make clear in lectures to many computer workers, that
  274.     the whole point of working with hackers on the development of
  275.     "Tone-Loc" software was so that it COULD and WOULD be
  276.     supplied to interested security personnel who would use it
  277.     to gain an understanding of how to harden their systems against
  278.     tools employing similar technology.
  279.  
  280.     This is emphatically not the handiwork of someone who should
  281.     be disciplined or professionally tarred, but the work
  282.     of someone who Bruce Sterling, not me, says is "probably THE
  283.     BEST THERE IS [emphasis mine] in the federal government who's
  284.     not military or NSA.  Probably better than most CIA."
  285.  
  286.     Unfortunately, Sterling's appraisal was buried near the end
  287.     of the story, after all the cracked shouting about aiding
  288.     hackers and computer criminals.
  289.  
  290.     But I've walked away from the real nut of the matter: the
  291.     presence of commented virus source code at AIS.  The significance
  292.     of this is, in my opinion, beyond the current ability of
  293.     mainstream journalists to evaluate simply because the vast
  294.     majority of them have little technical grasp of the
  295.     labyrinthine reality of computer security, what viruses are,
  296.     how they work and don't work and where you find virus source
  297.     code.  Certainly, The Washington Post story did nothing
  298.     to convince otherwise.
  299.  
  300.     Consider these statements from The Post and some stony facts:
  301.  
  302.         >>According to software writers, with the AIS information
  303.         "relative amateurs, could create new viruses."
  304.  
  305.         This is dangerously misleading.  As point of fact, relative
  306.         amateurs DO, not could, create new viruses from source
  307.         code and they've done so for a long time before the advent
  308.         of AIS.  That AIS would be responsible for such a
  309.         development, which is already fact, is frankly idiotic.
  310.  
  311.         >>Virus source code at AIS "is worse than making live
  312.         viruses available.  A person without the skill to write
  313.         a brand new virus could nonetheless produce a variation
  314.         on an existing one . . . If sufficiently mutated, the
  315.         virus might slip past anti-virus programs designed to
  316.         look for known products."
  317.  
  318.         This presumes that most virus-writers, would-be
  319.         virus-writers and "Coke-bottle glasses-variety
  320.         sociopaths" have little access to source code.  This
  321.         is not even close to being true.  Virus source code
  322.         is now commonplace on professional, semi-professional
  323.         and amateur BBS's run by every stripe of user across the
  324.         country. In fact, it is almost as common as pirated
  325.         software and pornography in some locales. Surprisingly,
  326.         the higher quality virus disassemblies stocked on such
  327.         BBS's are often the handiwork of anti-virus
  328.         researchers and software developers. Strangely, this
  329.         has never been reported by a mainstream newsman, perhaps
  330.         because "designated experts" often come from the same pool
  331.         of researchers and developers.
  332.  
  333.         >>". . . some computer professionals minimize the risk,
  334.         saying the software on [AIS] was acquired through the
  335.         computer underground in the first place, and thus has
  336.         always been available to miscreants with sufficient
  337.         contacts, tenacity and skill."
  338.  
  339.         This is a particularly nasty one because its presented
  340.         as justification by those attacked and seems true.  It's
  341.         not.  It requires NO tenacity or particular skill to
  342.         get hundreds of viruses and assorted source code listings.
  343.         Unlike the stunt of hacking a mainframe from a dial-up,
  344.         which often requires great patience, a brute-force approach
  345.         or some technical skill as substitute, from teenagers to
  346.         middle-age men, anyone with a PC and a modem can dig up a BBS
  347.         devoted to virus code in almost no time.  Yes, they are that
  348.         common.
  349.  
  350.         Why should this be?  Where have all those live viruses come from?
  351.         Paradoxically, many of the virus files on these BBS's bear the
  352.         electronic mark of software developers like Certus
  353.         International, S&S International and security organizations
  354.         such as the National Computer Security Association.
  355.         Damn.  How DO "relative amateurs" get ahold of
  356.         those samples? Of course, they could all be forgeries,
  357.         the work of some dangerous psychopath. Yeah, right.
  358.  
  359.     In any case, the only people who can't access the hacker
  360.     files anymore are the security people. And the real story
  361.     may boil down to what I call the "You dunno this information,
  362.     it's too dangerous and and you don't have any business
  363.     knowing about viruses and hacker files so leave it to us
  364.     anonymous security experts and anti-virus researchers
  365.     because we're here to serve and protect and we'll
  366.     take care of all that stuff, thank you" explanation.
  367.     It is the very essence of professional arrogance
  368.     and hubris, in my estimation.
  369.  
  370.     There is, obviously, much more which should have been addressed
  371.     by the mainstream media.  Why hasn't it, then?  Because it's
  372.     not as sexy a story as the visceral blurt of noble civil servant
  373.     whistleblowers bringing down a renegade government security
  374.     BBS pursuing new ways to pervert the public trust out on the
  375.     rim of cyberspace. And it would take time; it's a story that
  376.     couldn't be researched and rushed into print in a week. It's
  377.     complex, you see, and would be a great deal longer than the
  378.     piece which ran in America's finest newspaper, The Washington
  379.     Post.  So maybe we should all forget about fairness,
  380.     because if it can't get into print at The Post, where will it?
  381.  
  382.     I hope Kim can continue her fine work and I'm angry at the
  383.     stupid treatment this controversy has received at the hands
  384.     of the newsmedia, so I'm writing to you about it because if
  385.     I don't, I just might have to scream.
  386.  
  387.     ****************************************************************
  388.  
  389.     HACKER GUIDE:  HOW TO TELL WHEN YOU'RE PART OF AN 'OFFICIAL'
  390.     SCANDAL GENERATED BY THIRD PARTIES SKILLED OR LUCKY AT
  391.     MANIPULATING THE PRESS
  392.  
  393.     The Crypt Newsletter doesn't claim credit for the idea and
  394.     definition of the "official" scandal; instead, it's supplied
  395.     by Martin Lee and Norman Solomon in their devastating
  396.     criticism of journalistic methods, "Unreliable Sources: A Guide To
  397.     Detecting Bias in Newsmedia" (1990, Lyle Stuart).
  398.  
  399.     The AIS mess has many of the trappings of an "official"
  400.     scandal - that is, a catastrophe orchestrated by parties
  401.     with a vested interest in seeing it handled "properly."
  402.     Generally, such goings on are completely overlooked by
  403.     the newsmedia until it becomes an easy pitch to wake up
  404.     and produce a quick story with a lurid news hook.
  405.  
  406.     According to Lee and Solomon, "official" scandals have
  407.     certain hallmarks.  Directly from their book, then, with
  408.     embroidering comments by the Newsletter:
  409.  
  410.     1.  The "scandal" comes to light much later than it could
  411.     have.  So it was with AIS:  The hacker files were removed
  412.     from the BBS weeks before the story was retold in the
  413.     newsmedia.
  414.  
  415.     2. The focus is on scapegoats, fallguys, as though remedial
  416.     action amounts to handing the public a few heads on a
  417.     platter.  Kim Clancy, as the administrator of AIS, is the
  418.     fallguy, er, fall-lady, here.
  419.  
  420.     3. Damage control keeps the media barking but at bay.
  421.     The press is so busy chewing on scraps near the outer
  422.     perimeter that it stays away from the chicken house.
  423.     While the newsmedia was chewing on AIS, it neglected to
  424.     discover Paul Ferguson doing double-duty, CARO members
  425.     helping themselves to dangerous code on AIS while
  426.     complaining about it to others, and the ugly truth
  427.     that much of the virus code and live viruses on amateur BBS's
  428.     throughout the U.S. can be traced to AIS's opponents,
  429.     a few anti-virus software developers.
  430.  
  431.     4. Sources on the inside supply tidbits of information
  432.     to steer reporters in certain directions -- and away
  433.     from others.  See Paul Ferguson and Peter Neumann of
  434.     RISKS.
  435.  
  436.     5. The spotlight is on outraged officials -- in this case,
  437.     "anonymous", Neumann and Ferguson -- asking tough, but not
  438.     TOO tough, questions.
  439.  
  440.  
  441.     ***********************************************************
  442.        FIRST INTERNATIONAL VIRUS WRITING CONTEST -- AND THE WINNER IS:
  443.  
  444.           "Stormbringer"
  445.  
  446.        for his ingenious companion virus which none could beat. . . .
  447.        To be unveiled in The Little Black Book of Computer Viruses, Volume 2.
  448.        Please contact American Eagle Publications, PO Box 41401, Tucson,
  449.        AZ 85717 to claim your reward. To prove you really are Stormbringer,
  450.        please tell us how long the small companion virus you submitted was,
  451.        and send the first 5 instructions.
  452.     *************************************************************
  453.  
  454.                    Thanks! - Mark L.
  455.  
  456.  
  457.     ************************************************************
  458.  
  459.     ASK MR. BADGER:  OUR ROVING SPORTS DESK CORRESPONDENT, RAOUL
  460.     BADGER, SUMS UP ON THE INFORMATION SOCIETY
  461.  
  462.        If you've ever had your day screwed up by what I call the
  463.        "technological arrogance" of others - that is, had half an
  464.        hour or more wasted straightening out a personal fiasco
  465.        foisted on you by some anonymous white-collar boob driving
  466.        a computer terminal at any service, infrastructure or
  467.        banking-related institution, you're going to curse out loud
  468.        when you see the the June 14 issue of BusinessWeek.
  469.  
  470.        But to ease you into that, I'm going to talk about hippies
  471.        first.
  472.  
  473.        This month's Whole Earth has a reprint of a Bruce Sterling speech
  474.        from '91 and stuff on encryption, Virtual Reality, the latest
  475.        Cypherpunk hit, and review of various books on fractals, fuzzy
  476.        logic, etc.
  477.  
  478.        If nothing else, it must be commended on having almost no
  479.        digitized artwork.  Except for a few small shots of fractals and
  480.        one shot of the Diet Pepsi commercial with Elton John and Louis
  481.        Armstrong (which actually do seem to fit), there is only one whacked
  482.        piece of artwork.  Since that's in a review of "WIRED," I guess
  483.        I'll let it pass uncommented......
  484.  
  485.        Now, I don't know if you've been following the Whole Earth's gradual
  486.        transformation/demise into a New Age burial ground for unwashed
  487.        heathen, but for me it's a welcome relief.  I put up with their
  488.        articles on the magical influence of women's menses. I tolerated
  489.        their inexplicable reverence for R. Crumb (repeated in this
  490.        issue as well). I even endured the sudden dearth of insightful
  491.        reviews of tools, clothes, and real-life stuff.
  492.  
  493.        The last issue, however, was tops. It featured a diatribe
  494.        against the North American male who is responsible for the wildly
  495.        inaccurate belief that fat is ugly.
  496.  
  497.        When I beheld a picture of a three hundred pound porker, naked,
  498.        offered as proof that all women are beautiful, I calmly, but
  499.        surreptitiously, took the liberty of placing all the newsstand's
  500.        copies of Whole Earth in what is euphemistically known as "Section F."
  501.        That is, right next to the plastic-wrapped "Hefty Babes," and swore
  502.        I would never deign to pick up -- much less buy -- such tripe again.
  503.  
  504.        Needless to say, I have again been proven premature in my vows.
  505.  
  506.        But, onward.
  507.  
  508.        The BusinessWeek article I warned you about ("The Technology Payoff")
  509.        requires massive amounts of scorn, ridicule, and sarcasm from any
  510.        sane, skeptical reader.  A life-long, proud adherence to a cynic's
  511.        attitude is indispensible in avoiding thought contamination from
  512.        it.
  513.  
  514.        It's subhead:
  515.  
  516.        "Business spent $1 trillion on information technology in the last
  517.        decade  -  but showed little gain in efficiency.   Now, productivity
  518.        is finally bursting out, thanks to better software and a
  519.        reorganization of work itself."
  520.  
  521.        [This is really puzzling, as their own graphs show that investment
  522.        in "information technology" has quadrupled since 1980, but
  523.        productivity has only increased by about 1 per cent.  It's even worse,
  524.        in that productivity is only about 0.5 per cent above 1982 levels.
  525.        Perhaps the writers flunked the test on chart-reading in high school.]
  526.  
  527.        The "factoids":
  528.  
  529.        "Hospitals are using computers to help cure medicine's inefficiency."
  530.  
  531.        [They neglect to mention that it will probably automate its errors,
  532.        as well.]
  533.  
  534.        "Scanners and satellites reduce paperwork and make for shorter
  535.        checkout lines . . ."
  536.  
  537.        [I hope they're with me next time I'm in a Western Auto checkout line
  538.        and the entire staff is helpless because one product is missing an
  539.        inventory code.]
  540.  
  541.        And let's not forget a sidebar entitled "The Power of Software:
  542.        New approaches are starting to get big results."  Here's where
  543.        "..it all comes together".  GUI's, networking, flexible databases,
  544.        and imaging combine to drive productivity gains!  Yes, it slices and
  545.        dices, it mows the lawn and can cut through a tin can and still
  546.        keep an edge sharp enough to cut a tomato!  But wait, there's more!
  547.        Where else could you get a side-splitter like this:
  548.  
  549.        "[Window's solitaire] sure blew peoples' productivity,' admits
  550.        Wes Cherry, the Microsoft programmer who developed it.  But then
  551.        a funny thing happened:  When useful applications for Windows
  552.        arrived, workers HAD ALREADY MASTERED CLICKING AND DRAGGING
  553.        ON SCREEN OBJECTS  -- SKILLS HONED WITH SOLITAIRE."  (outraged
  554.        emphasis mine)
  555.  
  556.        Shit, here I've been wasting my time learning assembler and DBase
  557.        when I could have been playing solitaire.  All that time
  558.        using Lotus and WordPerfect when I should've been learning how to
  559.        use a mouse!
  560.  
  561.        [Inchoate shriek of frustation and rage!] I've missed out on the
  562.        leading edge of technology once again!
  563.  
  564.        I guess there's not much else for me to do other that sign off as
  565.        Mr. Behind-The-Times-Badger.  I'm off to scout for a good mouse
  566.        tutorial.
  567.  
  568.        Write ASK MR. BADGER at:  mrbadger@delphi.com
  569.  
  570.  
  571.        SMOTHERING DOOM IN THE DESERT: VIRUSES, CHEMICAL WEAPONS
  572.        DUMPS AND FATAL MYSTERY ILLNESS
  573.  
  574.        Jim Smith, a Ph.D. scientist working for the Department
  575.        of Energy at Sandia National Laboratories in Albuquerque,
  576.        New Mexico, home of the International School for Nuclear Weapons,
  577.        was on the phone a couple of weeks ago asking The Crypt Newsletter
  578.        why the national press was blaming the Navajo for the
  579.        recent cluster of asphyxiating, mystery illnesses knocking
  580.        more than a dozen dead in the desert of the reservations.
  581.  
  582.        "What's wrong with those candy-asses in the media? Why
  583.        hasn't anyone asked about the military?" he said over the
  584.        phone.
  585.  
  586.        "My colleagues have been discussing this and we think it's
  587.        strange most of the cases are near Gallup, which isn't
  588.        too far from an Army chemical weapons dump, Fort Wingate.
  589.        Wingate was closed about a year ago but more recently, they've
  590.        been moving materials out of it," he continued.  "What if something
  591.        happened? You know, the desert is filled with off-limits places
  592.        that we're kept out of because there are toxic spills in them.
  593.        Funny, how no one is concerned about getting this 'disease' once
  594.        the victims are in the hospital, but don't stir the dust
  595.        up when you're in the area."
  596.  
  597.        Smith went on about how Albuquerque is rocked infrequently
  598.        by strange, terrible explosions - the detonations of fuel-air
  599.        canisters out in the desert south of Kirtland Air Force Base where
  600.        the military tries to duplicate the overpressures of tactical
  601.        atomic shelling so it can see the effect of blast waves
  602.        on equipment and housing.
  603.  
  604.        Intriguing stuff.  Fort Wingate is indeed near Gallup; it's an
  605.        installation which can be barely glimpsed south of Interstate
  606.        40 as a weird-looking series of featureless structures close to
  607.        the Arizona/New Mexican border.
  608.  
  609.        The military, unsurprisingly, has never commented on the exact
  610.        nature and quantity of chemical weapons in its arsenal.  However,
  611.        one class of weapons is noteworthy, here: the choking agents phosgene
  612.        and diphosgene.
  613.  
  614.        Phosgene, produced simply by burning the solvent chloroform,
  615.        has been manufactured by the U.S. military since
  616.        World War I. Used first in great quantity during the British
  617.        offensive at The Somme River, phosgene is an almost odorless,
  618.        colorless gas which produces fatal symptoms which seem weirdly
  619.        familiar.
  620.  
  621.        At the Somme, phosgene victims initially felt nothing more
  622.        than a slight eye and nose irritation which passed.  Then,
  623.        the victim might feel slightly euphoric, or slightly ill,
  624.        while the lungs began to fill with fluid.  At a point, anywhere
  625.        from 6-48 hours after initial exposure, the victim would literally
  626.        begin to drown as his lungs filled; a thin, blood-streaked fluid
  627.        might dribble from the mouth as the dying victim tried to
  628.        expel the material accumulating in his lungs.  By 1918, the
  629.        Germans had perfected a method of spreading phosgene as a dust;
  630.        the gas was carried in the interstices of powdered pumice.
  631.  
  632.        In any case, the U.S. was no stranger to phosgene derivatives
  633.        either, testing the gas and large quantities of mustard agents
  634.        on Australian and Canadian volunteers at Brook Island, Queensland,
  635.        in 1943. It was a a project of the utmost secrecy and it remained
  636.        almost completely unknown until 1989 when an increasing flood
  637.        of test subjects, some suffering from horrible disabilities,
  638.        started to talk about it for documentaries and reporters. The
  639.        U.S. also tested volunteers at Bushnell, Fla., Dugway Proving
  640.        Ground at Tooele, Utah; Edgewood Arsenal, Md., and Camp Sibert,
  641.        Alabama.
  642.  
  643.        It is not unreasonable to speculate that the U.S. retains large
  644.        quantities of phosgene and diphosgene in its arsenal to this
  645.        day.
  646.  
  647.        The "mystery illness" which has killed more than a dozen by
  648.        sudden, inexplicable smothering has been attributed to the
  649.        "hantavirus," however, a heretofor obscure microorganism found in
  650.        the deer mouse. Infectious disease specialists speculate that the
  651.        virus, shed in droppings, creates disease in humans when inhaled on
  652.        fecal dust.  For the most part, medical writers in the press
  653.        have accepted this explanation, leaving the story open and waiting
  654.        for more conclusive testimony from official sources. Curiously,
  655.        they have not questioned the military.
  656.  
  657.        For their part, the Navajo have proclaimed the rodent dropping
  658.        explanation royal bunk.
  659.  
  660.        On June 19, The Washington Post in its continuing coverage of the
  661.        story published this:
  662.  
  663.        "If we take the federal government by the way they have treated
  664.     the American Indian from day one, then they are probably withholding
  665.     information," said Albert Tinhorn, 38, a tribal chapter president,
  666.     or government leader, from Dennehotso, Ariz.
  667.  
  668.        "I find it hard to believe the mice theory," Tinhorn said. "I think
  669.     if there's any truth to be found, it's got to be in the toxic
  670.     wastes, all the radioactivity around here. The federal government's
  671.     been doing secret testing of who knows what out here for years.
  672.     Ten years from now, we'll hear there was a coverup."
  673.  
  674.     Tinhorn agrees with tribal President Peterson Zah, who spoke in
  675.     Washington, criticizing media coverage of the illness as a Navajo
  676.     disease and offering examples of Navajos who have been treated
  677.     poorly by outsiders.
  678.  
  679.        "The teeth of racism by the media and others have been bared
  680.     against the Indian people," Tinhorn said. "The Navajo people
  681.     have been very tolerant. Three or four Anglos have died of this
  682.     disease, whereas the diseases brought over by the European people
  683.     years ago wiped out entire Indian populations."
  684.  
  685.     And a week earlier, on the editorial page of the L.A.
  686.     Times, Navajo Johnny P. Flynn wrote:
  687.  
  688.     "The young people who died were probably smart enough not to
  689.     handle rat droppings, and they certainly did not get the
  690.     disease from stirring up the disease at a sing or ceremony,
  691.     because many young people no longer attend these.  No, this
  692.     disease, some Dine' believe, will ultimately be traced
  693.     to the [white man's] insistence on using Dine'tah as a
  694.     dumping ground for their poisons."
  695.  
  696.     As food for thought, the reader might consider:
  697.  
  698.       The Soviet explanation of an outbreak of rapidly
  699.       fatal pneumonic anthrax in the city of Sverdlovsk in 1979.
  700.       Soviet officials said anthrax-tainted meat was the culprit.
  701.       Western powers, including the U.S., said bullshit - it was a
  702.       mishap at a biological weapons facility, one which aerosolized
  703.       anthrax spores and swept them over the city.
  704.  
  705.     And this bizaare record of publicized chemical weapons
  706.     mishandling by the U.S. military:
  707.  
  708.       In March 1969, an nerve agent test gone bad at Dugway
  709.       Proving Grounds, Tooele, Utah, kills 6,300 sheep in
  710.       nearby Skull Valley.
  711.  
  712.       In August 1969, the U.S. Army was accused of rail-shipping
  713.       a large quantity of phosgene from Denver to New York State
  714.       were it was to be sold to a plastics manufacturer.  Two
  715.       rail cars of phosgene eventually got lost in Buffalo for
  716.       a day.
  717.  
  718.       Decemer 1969 - more nerve gas leaks at Dugway.
  719.  
  720.       January 1969:  Two hundred canisters of the nerve agent,
  721.       VX, are discovered at the bottom of a recently drained lake
  722.       near Fort Greely, Alaska.  The poison had been stored on the
  723.       lake's ice, when it cracked through and sank in 1966.
  724.       Strangely, the Army never missed it.
  725.  
  726.     Keep in mind that all the information presented in this
  727.     piece is purely circumstantial. But then, so is the "hantavirus"
  728.     theory.
  729.  
  730.     IN THE READING ROOM:  'TECHNOLOGY REVIEWS' SPECULATES
  731.     ON THE COLOR OF THE FUTURE OF EDUCATION. IT'S BABYSHIT BROWN,
  732.     AS KURT VONNEGUT WOULD SAY.
  733.  
  734.     In my endless ramblings through the local newsstand, I ran across
  735.     the July issue of Technology Review.  Technology Review is put out
  736.     by the fine folk at MIT and features lightweight articles on a
  737.     variety of "scientific" subjects; imagine a Discover magazine with
  738.     fewer ads and you'll get the idea.
  739.  
  740.     The cover story is "The Children's Machine: How Computers
  741.     Can Restore the Wonder of Learning".  It shows a baby in diapers in
  742.     front of a terminal with an expression of wonder on his cherubic
  743.     face. [The cynical will immediately note that the baby is, in fact,
  744.     ignoring the monitor and staring at some attention getting device
  745.     not shown.]
  746.  
  747.     But don't be fooled by the title, this isn't an article about
  748.     computers in education.  No siree, it's about the Knowledge Machine!
  749.     You know about the knowledge machine, don't you?  Why, you fool!
  750.     Its the device that would allow a child to use "speech, touch, or
  751.     gestures" to "quickly navigat[e] through a knowledge space much
  752.     broader that the contents of any printed encyclopedia."
  753.  
  754.     As it turns out, the Knowledge Machine will allow a child to
  755.     select an animal and see it "eating, running, fighting, or
  756.     birthing...", all with  realistic sounds!  Even the smell and
  757.     touch of being with the animals will be available!
  758.  
  759.     Parents will be glad to know that there is no lack of storage
  760.     or access technology impeding development of the Knowledge Machine.
  761.     No siree, Bob!  All we need to do is bring together the knowledge,
  762.     and the enormous potential market for the machine guarantees that
  763.     it will happen.
  764.  
  765.     By now you're wondering just who the heck thought all of this.  I'm
  766.     not going to tell you . . .yet.  [Well, yes I am.] Because you
  767.     should know that Professor Seymour Papert [Honest, that's his
  768.     name!], does have some decent insights into educator's use of
  769.     computers in the here and now.  He speaks of school administrators
  770.     that view computers as things to be placed in "Labs".  Once
  771.     safely cordoned in labs, curricula are drawn up.  Now computers
  772.     become something to be taught, tested, and graded.  In the
  773.     meantime, however, schools have inoculated themselves with a
  774.     subversive element.  Computers aren't something students use, they
  775.     are something students learn.  Here, I'll let the good professor's
  776.     words speak for themselves:
  777.  
  778.     "...if "computer skill" is interpreted in a narrow sense of
  779.     technical knowledge, there is nothing the children can learn
  780.     now that is worth banking.  By the time they grow up, the
  781.     computer skills required in the workplace will have evolved
  782.     into something fundamentally different.  What makes the very
  783.     very idea of banking computer knowledge truly ridiculous is
  784.     that it undermines the only really important 'computer skill':
  785.     the habit of using the computer for doing whatever one is doing.
  786.     Yet this is exactly what was given up in shifting the computer
  787.     away from the classroom."
  788.  
  789.     All of which seems to be perilously close to saying, "Let the
  790.     little hackers play, dammit!"
  791.  
  792.     How then can this Professor Papert think that we're going to have a
  793.     "Knowledge Machine" available to every four-year old anywhere in the
  794.     near future? As it turns out, Professor Papert teaches learning
  795.     research at the MIT Media Laboratory.  As it turn out, Professor
  796.     Papert is a proponent of progressive educational ideas.
  797.  
  798.     People in this position really ARE screwed.  Ever since John
  799.     Dewey came up with the idea of more self-centered education,
  800.     reformers have been continually embarrassed that their reforms
  801.     don't "bring about dramatically better learning."  [Those're
  802.     Papert's terms. Most parents would state this "learn-at-your-
  803.     own-pace-learn-whatever-you-want-shit" hasn't done anything but
  804.     destroy a fairly decent educational system.]
  805.  
  806.     Sure enough, the professor insists that previous reforms failed
  807.     because they didn't have the right tools.  Like Leonardo da
  808.     Vinci, reformers lacked the infrastructure to create everything
  809.     they envisioned.  Yeah, right. Regular Crypt readers probably have
  810.     no need for me to say how full of self-serving horse-hockey this
  811.     is.
  812.  
  813.     A decade ago, computers were going to solve our nation's
  814.     educational problems.  NOW, it's going to take a combination
  815.     of interactive CD's, a level of Virtual Reality technology that
  816.     doesn't exist, gigabytes of memory, the power of a Cray, and an
  817.     interface accessible to four and five year olds.  In the meantime,
  818.     one must wonder if reliance on a non-existent form of technology
  819.     really means that Professor Papert and other educational reformers
  820.     have no good ideas for educating children in the present.
  821.  
  822.     Wake up and smell the coffee, Professor.  By the time we do have a
  823.     "Knowledge Machine", parents will be up in arms about children
  824.     being able to see unlimited footage of animals birthing.  By the
  825.     time we have a Virtual Reality capable of reproducing the feeling
  826.     of fur and the smell of a cow, Crypt readers will have
  827.     some ***really*** interesting programming.
  828.  
  829.                         ---Mr. Badger
  830.  
  831.     **************************************************************
  832.     JUMPING ON THE BANDWAGON: NON-FUNCTIONAL ANTI-VIRUS SOFTWARE
  833.     IS WHERE YOU FIND IT
  834.     **************************************************************
  835.  
  836.     The last couple of months have seen an explosion in the number
  837.     of anti-virus toolkits found on the market.  A good case study
  838.     is the example of the Russian product, Anti-virus System
  839.     Protection, or AVSP.  Marketed by Planning Works International
  840.     of Columbus, Ohio, the product appears to be sophisticated
  841.     shareware with a $50 registration.
  842.  
  843.     In reality, it stands no chance on the market, being much less
  844.     functional from an average user viewpoint than any of the
  845.     current market heavies.
  846.  
  847.     AVSP comes with a fast scanner limited by only 129 virus
  848.     signatures.  It's your job, says developer Andrew Borisov,
  849.     to add signatures to it as you find viruses.  Bad plan.
  850.  
  851.     It presumes U.S. users will rely totally on the product's
  852.     data integrity/checksummer program to flag files infected
  853.     by viruses not included in AVSP's signature file.  Then
  854.     comes the fun part.  Using AVSP's diagnostic tools, which
  855.     include a disassembler and file viewer which graphically
  856.     represents the changes an unknown virus has made
  857.     to a file, the user is supposed to pluck out a signature from
  858.     the virus code, copy it to a clipboard, and transfer it to
  859.     AVSP's virus signature database.
  860.  
  861.     I tried this and after a couple stabs got it right with
  862.     the Career of Evil virus included in Crypt Newsletter 15.
  863.     Then came the fun part: infecting a bunch of files with
  864.     Career of Evil and using AVSP to detect the virus.
  865.     AVSP detected every file containing Career of Evil, it
  866.     found the virus in memory, and even found the virus in
  867.     memory when it wasn't there!  Howzzat?  AVSP, it seems
  868.     holds your added signatures unencrypted in memory and then scans
  869.     this position; quite naturally it finds the virus in
  870.     memory every time.  This is an amazing screw up for $50
  871.     shareware - effectively nixing the whole idea behind AVSP.
  872.  
  873.     AVSP's documentation is laughable; the product of someone
  874.     who apparently learned English only yesterday.
  875.  
  876.     While it's true that segments of AVSP are well-done, the
  877.     product is ill-conceived and clearly has no audience.
  878.     Programmers capable of using the disassembler and do-it-
  879.     yourself signature base don't need to spend $50 for this;
  880.     average users would never feel comfortable with the software.
  881.  
  882.     There are many products currently in circulation which share
  883.     AVSP's dubious functionality.  This is a direct result
  884.     of the idea that there's "cash to be made in them thar
  885.     hills!"  As such, you would do well to regard most of them
  886.     as lousy buys until proven otherwise.
  887.  
  888.     It is doubly interesting that AVSP is Russian, licensed to
  889.     America.  We've been lead to believe that Russia is packed full
  890.     of unemployed programmers - all very skilled - working overtime
  891.     to make viruses as revenge.  If they are all like the people who
  892.     put together AVSP, they will have to work a lot harder, in
  893.     the future, to make anyone lose any sleep at night.
  894.  
  895.     ****************************************************************
  896.     MORE MUTATION ENGINE STUFF AND DISMANTLING MICROSOFT ANTI-VIRUS,
  897.     POLITELY
  898.     ****************************************************************
  899.  
  900.     This month's issue includes the PC WEEVIL, a polymorphic direct
  901.     action .COMfile infector which utilizes The Mutation Engine (MtE),
  902.     again.
  903.  
  904.     Big deal, you say!  Ah-ah-ah, not so fast.  Here at the newsletter
  905.     we were quite intrigued by Mark Ludwig's study of polymorphic
  906.     viruses in Computer Virus Developments Quarterly #3.  Ludwig pointed
  907.     out the limitation of the engine, but he also looked at the flimsy
  908.     reeds many anti-virus scanners have tied themselves to in search
  909.     of the MtE.
  910.  
  911.     A minor diddle of code before the MtE decryptor kicked in caused
  912.     most scanners to fail ignominiously.  We checked with later versions
  913.     of scanners, most notably SCAN and FINDVIRUS and found that both
  914.     products had cleaned up their acts - both caught Ludwig's demo
  915.     virus.  However, the change was so fast we suspected that it
  916.     was a bad kludge.
  917.  
  918.     Ludwig's initial change involved inserting 24 instances of the
  919.     instruction "mul cx" before the Mutation Engine decryptor.  He
  920.     rightly pointed out that this gives developers a constant handle
  921.     in front of the main body of the virus which can be seized by
  922.     a plain vanilla signature - in essence it puts a constant stream
  923.     of instructions into a polymorphic virus, mitigating some of its
  924.     features.
  925.  
  926.     Strangely, the "mul cx" instruction had the effect of completely
  927.     wrecking the action of Microsoft Anti-virus.  Any virus using this
  928.     sequence hangs the program thoroughly.  So we changed that segment
  929.     to 24 instances of "jmp $ + 2 ", a nothing sequence which we
  930.     assumed had a good chance of confusing things still further.  Micro-
  931.     soft Anti-virus no longer hung, but it wouldn't even detect
  932.     unencrypted versions of the virus, PC WEEVIL, included in this
  933.     issue.  SCAN 106, FINDVIRUS and F-PROT 2.08 would only detect
  934.     unencrypted copies, identifying the MtE code. Likewise with
  935.     ThunderByte's TBSCAN.  This program was successful against
  936.     plain-text copies of PC WEEVIL only. Heuristically, it
  937.     noted only that files contained garbage instructions, only
  938.     enough to trigger it's "infected" error flag if a series
  939.     of positively identified viruses were also found on the disk.
  940.  
  941.     Leprechaun Software's The Doctor scanner, while very effective
  942.     at detecting standard MtE samples (although we might add it has
  943.     a high false positive rate), was equivalent to Microsoft Anti-virus
  944.     against PC WEEVIL.
  945.  
  946.     The only thing left to do was to work around the nasty string of
  947.     constant instructions - "mul cx's" or "jmp $+2's" or whatever -
  948.     so that software developers would not be tempted to use a signature
  949.     scan, instead working to make their MtE detection logic better.
  950.     The Crypt Newsletter chose to insert 48 pairs of "00 00" words
  951.     in front of the MtE decryptor as additional garble.  Take a
  952.     look at a number of your executable programs under a file viewer -
  953.     notice the many instances of repeated "00".  Obviously, this
  954.     makes choosing a scan string from this sequence in the virus
  955.     a less than desirable quick fix. Within the PC WEEVIL we've
  956.     carefully pointed out the changes made to the code so that you
  957.     can experiment will all kinds of garbling instructions as the
  958.     anti-virus scanner wars continue.
  959.  
  960.     Most scanners can still detect plain-text, or unencrypted
  961.     copies of PC WEEVIL, but they are blind to those where the
  962.     Engine has turned successfully.  Only F-PROT 2.08 was
  963.     capable of occasionally picking up one of the garbled
  964.     copies of the virus.
  965.  
  966.     Also included in PC WEEVIL is a very short routine which enables
  967.     to virus to rip through Microsoft Anti-virus's VSAFE memory
  968.     resident utility.  This was pointed out by KohntarK, and the
  969.     beauty behind it was so simple, I fell out of my chair
  970.     laughing.
  971.  
  972.     The routine takes advantage of VSAFE's hooking of the keyboard
  973.     interrupt, INT 16, so that a user can call up the program
  974.     and reconfigure or de-install it at any point by
  975.     hitting 'Alt-V'.
  976.  
  977.     The code is this:
  978.  
  979.        mov  ax,0FA01h  ;<----wakes up VSAFE for keyboard input
  980.        mov  dx,5945h   ;<----asks VSAFE to deinstall
  981.        int  16h     ;<----calls the interrupt
  982.  
  983.  
  984.     By loading VSAFE into memory and looking at the interrupt table
  985.     with a memory diagnostic tool, you can see where the program
  986.     hooks into INT 16.  By stepping into the VSAFE code at this
  987.     point with a good debugger, you should have no trouble
  988.     finding the branch point -
  989.  
  990.            cmp   ax,FA01h
  991.  
  992.     which executes when the user, or a virus, steps through the
  993.     code of interest.
  994.  
  995.     PC WEEVIL contains this sequence and it will easily go through
  996.     VSAFE when it is resident without anyone being the wiser.
  997.     We suspect, but leave it open for you to test, that the current
  998.     versions of CENTRAL POINT ANTI-VIRUS are also vulnerable to
  999.     this measure.
  1000.  
  1001.     Other than that, PC WEEVIL is fairly innocuous.  It will infect
  1002.     every .COMfile in the current directory on an initial run
  1003.     and is included as a DEBUG script and TASM 3.0 source listing.
  1004.     To make a working copy directly from the source code requires
  1005.     that you have the complete Mutation Engine archive, a common
  1006.     files on BBS's throughout the country.
  1007.  
  1008.     Simply link, thus,
  1009.  
  1010.      TLINK /x /t pcweevil rnd mte pcweevil.com      .
  1011.  
  1012.     Also included in this issue is Black Wolf's DECOMPILE, a simple
  1013.     yet handy utility for decompiling Mutation Engine viruses into
  1014.     plain-text form.  Rather than using the standard DEBUGGING
  1015.     techniques outlined in Crypt 12, this utility completely
  1016.     automates the task.  Try it using some MtE generations produced
  1017.     by PC WEEVIL.
  1018.  
  1019.     Typing DECOM at the command prompt will cause the program to
  1020.     prompt you for an input file name, and a target file name.
  1021.     Then it will attempt to decrypt the virus and write it to
  1022.     the disk in its plain-text form as the target file.  A
  1023.     simple test for effectiveness is to look for the text
  1024.     embedded in PC WEEVIL, or use a program like SCAN 106 -
  1025.     which does not detect encrypted PC WEEVILs.  If DECOMPILE
  1026.     was successful, SCAN 106 will identify plain-text copies
  1027.     as [DAME].  Enjoy these programs and utilities.  And a
  1028.     big "Thank You" to Black Wolf for this fine public domain
  1029.     piece of code!
  1030.  
  1031.     *************************************************************
  1032.     FICTUAL FACT/FACTUAL FICTION:  BE ON THE LOOKOUT FOR THIS
  1033.     'STUFF'
  1034.     *************************************************************
  1035.  
  1036.     >>NuKE INFOJOURNAL #6 is definitely worth your time and
  1037.     brain damage. The current issue includes discussion
  1038.     with Alan Solomon, Rock Steady and Aristotle as well as
  1039.     an hilarious piece by someone acting as a fly-on-the-wall
  1040.     at a recent NCSA meeting in San Francisco.  In it, F-PROT
  1041.     developer Frisk Skulason is characterized as "pudgy" and with-
  1042.     drawn, apparently no match for John McAfee on the lecture
  1043.     circuit.
  1044.  
  1045.     >>The virus-programming/hacker group Phalcon/SKISM has an
  1046.     information server on the INTERNET.  Contact:
  1047.  
  1048.           request@skism.login.qc.ca
  1049.     or
  1050.           timelord@skism.login.qc.ca
  1051.  
  1052.     >>Black Axis BBS sysop Aristotle has started an echomail
  1053.     feed on the FIDONet backbone called NuKE_THEWORLD.  You
  1054.     might request it from your local FIDO sysop if he doesn't
  1055.     already carry it; tune into the outrageous gossip and snappy
  1056.     repartee of various virus programming groups on NUKE_THEWORLD.
  1057.     ***************************************************************
  1058.  
  1059.  
  1060.                    *CAVEAT EMPTOR*
  1061.  
  1062.     What is the Crypt Newsletter?  The Crypt Newsletter is an electronic
  1063.     document which delivers deft satire, savage criticism and media
  1064.     analyses on topics of interest to the editor and the computing
  1065.     public.  The Crypt Newsletter also reviews anti-virus and
  1066.     security software and republishes digested news of note to
  1067.     users of such.  The Crypt Newsletter ALSO supplies analysis and
  1068.     complete source code to many computer viruses made expressly for
  1069.     the newsletter. Source codes and DEBUG scripts of these viruses
  1070.     can corrupt - quickly and irreversibly - the data on an
  1071.     IBM-compatible microcomputer - particularly when handled foolishly
  1072.     by individuals who consider high school algebra "puzzling."
  1073.  
  1074.     Files included in this issue:
  1075.  
  1076.      CRPTLT.R16 - this electronic document
  1077.      PCWEEVIL.ASM - TASM source listing to PC WEEVIL virus
  1078.      PCWEEVIL.SCR - DEBUG scriptfile for PC WEEVIL virus
  1079.      VSLAY.ASM - virus-mediated dismantling program for Microsoft
  1080.      Anti-virus's VSAFE
  1081.      VSLAY.SCR - DEBUG scriptfile for VSLAY
  1082.      DECOM.ASM - Black Wolf's Mutation Engine "decompiler,"
  1083.      supplied as source code.
  1084.      DECOM.DOC - Documentation for DECOMPILE
  1085.      WOLF.LIB - library file needed by DECOM.ASM
  1086.      DECOM.SCR - DEBUG scriptfile for DECOMPILE
  1087.  
  1088.      ----------------------------------------------------------------
  1089.  
  1090.      To assemble programs in the newsletter directly from scriptfiles,
  1091.      copy the MS-DOS program DEBUG.EXE to your work directory and
  1092.      type:
  1093.  
  1094.         DEBUG <*.scr
  1095.  
  1096.      where *.scr is the scriptfile of interest included in this issue.
  1097.     -------------------------------------------------------------------
  1098.  
  1099.  
  1100.        So you like the newsletter?  Maybe you want more?  Maybe you
  1101.        want to meet the avuncular Urnst Kouch in person!  You can
  1102.        access him at the e-mail addresses on our masthead, as well as
  1103.        at Crypt InfoSystems:  818-683-0854/14.4.
  1104.  
  1105.        Other fine BBS's which stock the newsletter are:
  1106.  
  1107.  
  1108.     MICRO INFORMATION SYSTEMS SERVICES  1-805-251-0564
  1109.     THE HELL PIT     1-708-459-7267
  1110.     DRAGON'S DEN     1-215-882-1415
  1111.     RIPCO ][                 1-312-528-5020
  1112.     AIS          1-304-480-6083
  1113.     CYBERNETIC VIOLENCE      1-514-425-4540
  1114.     THE BLACK AXIS/VA. INSTITUTE OF VIRUS RESEARCH   1-804-599-4152
  1115.     UNPHAMILIAR TERRITORY    1-602-PRI-VATE
  1116.     THE OTHER SIDE     1-512-618-0154
  1117.     REALM OF THE SHADOW      1-210-783-6526
  1118.     THE BIT BANK     1-215-966-3812
  1119.     CAUSTIC CONTAGION       1-817-776-9564
  1120.  
  1121.  
  1122.     *********************************************************************
  1123.     Comment within the Crypt Newsletter is copyrighted by Urnst Kouch,
  1124.     1993.  If you choose to reprint sections of it for your own use,
  1125.     you might consider contacting him as a matter of courtesy.
  1126.     *********************************************************************
  1127.  
  1128.  
  1129.