home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / MVUPDAT3.ZIP / MACRO_AV.ZIP / MACRO010.TXT < prev    next >
Encoding:
Text File  |  1996-05-01  |  17.5 KB  |  346 lines
  1. TEGWAR: THE EXCITING GAME WITHOUT ANY RULES -or- COMPUTER VIRUS
  2. FUNNY BUSINESS WITH WINWORD DOCUMENTS
  3.  
  4. In the baseball move "Bang the Drum Slowly" actor Michael Moriarty
  5. plays a star pitcher who, in cahoots with one of his team's managers,
  6. scams baseball groupies and assorted chumps out of their money with
  7. a card game they call TEGWAR. TEGWAR isn't a game, it's a con in
  8. which Moriarty and a cohort dupe people into falling for a pigeon
  9. drop where they make up a mystifying set of rules masked by the ruse
  10. of a legitimate card game.  Of course, since no one can win a game
  11. with no logical rules, Moriarty - or his accomplice - always pocket
  12. the designated pigeon's betting money. When Moriarty's friend, a
  13. dim-witted catcher played by Robert DeNiro, comes down with Hodgkin's
  14. Disease, Moriarty finally lets him on the excellent secret of
  15. The Exciting Game Without Any Rules, TEGWAR.
  16.  
  17.                                   *
  18.  
  19.        "DoD is dripping in Word Concept virus . . . "
  20.  
  21.                    -- An excitable fellow and insider who would
  22.                       rather not be named.
  23.  
  24.                                   *
  25.  
  26. Crypt Newsletter is now going to let you in the secret of one of the
  27. software industry's latest versions of TEGWAR: the dilemma of the
  28. Microsoft Winword viruses.
  29.  
  30. Taking advantage of the nature of Microsoft's Word for Windows, the
  31. Winword viruses exploit an automatic function embedded in special
  32. Microsoft Word documents.  What this boils down to is that executable
  33. instructions buried within documents prepared by Microsoft Word can be
  34. written to perform the basic function of a computer virus: Make a copy of
  35. itself and attach itself to another target. In this case, Winword
  36. documents.
  37.  
  38. Designed to execute commands or executive routines embedded in
  39. special documents - called .DOT files - Word has proved an excellent
  40. culture dish in which to breed simple computer viruses.  Because of
  41. reasons which include the large installed user base of WinWord,
  42. the way people promiscuously share documents produced by it, the
  43. outwardly innocuous nature of the Word Concept virus (the most common
  44. of the "macro viruses") and the lack of prompt interest in the
  45. problem by Microsoft, the "macro virus" problem has run out of control.
  46.  
  47. A recent press release by the National Computer Security Association
  48. stated even Microsoft has been snakebit by Winword viruses.
  49. Predictably, this has led to a great deal of spilt blood in institutions
  50. blind-sided by rapid distribution of the virus.
  51.  
  52. However, the idea of "macro viruses" wasn't surprising. Back in 1993
  53. Crypt Newsletter published just such a virus for the Telix PC
  54. communications program. [1]  It infected other Telix sub-programs --
  55. called scripts - which were simple lists of commands recorded into
  56. files and executed on-the-fly by Telix. An example of this type of
  57. sub-program, or script, could be one that called CompuServe and
  58. retrieved personal electronic mail.
  59.  
  60. As it was written, the Telix script virus, named LittleMess, quickly
  61. flashed a Stoned virus-type message on the screen, "Legalise Marijuana."
  62. The possibility of this type of computer virus was also addressed by
  63. examples written elsewhere in computer security circles predating
  64. even then.  However, LittleMess and others like it remained extremely
  65. obscure curiosities. Winword viruses are anything but.
  66.  
  67.  
  68. PART II: LOTSA CONSIDERATION
  69.  
  70.                                  *
  71.  
  72.        "Thank you very much, <put your name here>, for your thoughts.
  73.        This is something I've been giving a lot of consideration of
  74.        late. Sincerely, Bill."
  75.                     ---Bill Gates form reply to electronic mail.
  76.                     [Uncovered by David Applefield, March 1996]
  77.  
  78.                                  *
  79.  
  80.  
  81. What has been a surprise about Word macro viruses is the industry
  82. response to them.  To understand the absurd nature of it, Crypt must
  83. construct a parable minus the jargon and baffle-speak used in the
  84. usual generic attempts to describe the Word "macro virus" problem.
  85.  
  86. Now, for the sake of our story, let's pretend for a moment that
  87. Microsoft manufactures VCR's instead of operating system and business
  88. office software.  Microsoft has a dominant share of the market and has
  89. just made a new model VCR. This model isn't significantly fancier than
  90. the previous model -- just newer with some bells and whistles that
  91. are nice but not absolutely essential.
  92.  
  93. Of course, lots of people immediately buy these VCR's and start playing
  94. rented videotapes in them.  Someone who's tinkering around or has
  95. too much time on his hands, discovers that if he makes a minor,
  96. almost invisible change or scratch in the plastic case of a rented
  97. tape, it introduces a problem into the new VCR.  This scratch makes
  98. a part called the frammis fail. The frammis is put slightly out of
  99. line and whacks the videotape housing and an adjacent part, called
  100. the neo-frammis, also inside the VCR.  This doesn't ruin the
  101. videotape but it puts the same scratch into it, if it didn't have it
  102. already. After a day, maybe a week, maybe longer -- development of
  103. the frammis/neo-frammis whacking makes tapes being played show
  104. up intermittently during play with an annoying white mistracking line
  105. on the TV. No amount of fiddling with the tracking adjustment on the
  106. VCR will fix it. Our tinkerer thinks this is clever and he's feeling
  107. mean so he rents a tape - the most popular title, something like
  108. "Busty Babes of the Bayou," "The Toolbox Murders" or "Forrest Gump" -
  109. from Blockbuster. He puts the scratch in the videotape's housing and
  110. returns it.
  111.  
  112. Now it has the potential to spread to everyone who has the Microsoft
  113. VCR and rents this tape in the region.
  114.  
  115. Months later Microsoft VCR owners are calling the company in outrage.
  116. Their VCR's are screwed up and local repairmen don't know what to
  117. do.
  118.  
  119. [Now, in one possible world, Microsoft issues a massive recall,
  120. identifies and solves the problem, and returns new, different
  121. VCR's not susceptible to the problem to consumers.  End of the
  122. frammis/scratch problem except for those people who for some reason or
  123. another don't follow the recall.  Eventually, they stop using the
  124. VCR or buy a different brand.  Microsoft takes a big financial hit
  125. for the quarter, but - hey - it's part of the business.]
  126.  
  127. However, in our world Microsoft sends a pack of cheap screwdrivers,
  128. a replacement frammis that sometimes doesn't work and instructions
  129. on how to fix the VCR printed on a paper the size of a chewing gum
  130. wrapper.  The instructions are written in Pig Latin. Quite naturally,
  131. a lot of people can't fix the problem.
  132.  
  133. Other industry vendors rush to provide a solution.  They supply a set
  134. of slightly less cheap screwdrivers, a replacement frammis that
  135. works 75 percent of the time and instructions printed on a paper
  136. that's the size of a legal pad but which no one bothers to read,
  137. anyway.
  138.  
  139. More and more Microsoft VCR's play all screwed up but no one
  140. seems too concerned.  They keep buying the model. Everyone is
  141. trained to use this model of VCR and they won't switch models because
  142. they're afraid they won't be able to use other VCR's and will lose
  143. the ability to rent and enjoy videotapes.
  144.  
  145. Microsoft even issues a few thousand free sample tapes that are
  146. messed up with the frammis-buggering case flaw. This spreads the
  147. problem even further -- generally to people who have VCR's that aren't
  148. already messed up with it.
  149.  
  150. Eventually, well-meaning but clueless techno-geeks at Lawrence
  151. Livermore National Lab issue a product advisory on the VCR.  It
  152. describes the problem and a new one that's slightly different
  153. but more hazardous.  The new one makes the frammis and neo-frammis
  154. misbehave so wildly a big spark comes out of the front of the VCR,
  155. frying the circuitry and ruining the VCR. Since the rental tape that
  156. introduces the problem melts when this happens and cannot be returned
  157. it never spreads as far.
  158.  
  159. The Lawrence Livermore National Lab memo reaches a lot of
  160. people but 90 percent don't read it because it's too long. They
  161. will only read things that don't exceed a half page or a screenful
  162. of information. The Livermore National Lab warning [2] is pages and
  163. pages of daunting techno-gobble. The ten percent that persist in
  164. reading to the end have trouble grasping it because of language
  165. like this:
  166.  
  167. "If you don't have the Microsoft cheap screwdriver and replacement
  168. frammis set, you can use the Organizo-frammis to find and remove
  169. the broken Frammis without making things worse. The first step is to
  170. start the VCR and open the Organizo-frammis box. There are two ways
  171. to open the Organizo-frammis box: 1. use the Tools Neo-Frammis
  172. and press the Organizo-frammis; 2. use the File Omega-frammis
  173. and depress the Organizo-frammis. In the Organizo-frammis box,
  174. flip the Frammis switch, click the Open Frammis button, locate the
  175. malfunctioning frammis and neo-frammis and close everything up.  Back
  176. in the Organizo-frammis box, select all the Frammises listed
  177. in the file Omega-frammis and flick the off button to remove them.
  178. Flick the Close Omega-frammis switch to install the new Frammis.
  179. The Frammis is now fixed."
  180.  
  181. Frustrated, many home owners and businesses can't deal
  182. with the Frammis problem-plagued VCR from Microsoft. While it's possible
  183. to fix the contagious frammis scratch, bureaucratic entropy, apathy,
  184. confusion and institutional impediments inevitably result in failure
  185. because:
  186.  
  187. (1) Many victims of it cannot understand how the fix is to be made.
  188. The national lab warning was terrifying in its difficulty to understand.
  189. Microsoft's cheap screwdriver set doesn't work very well.
  190.  
  191. (2) Many victims don't have the time or expertise to fix the VCR right
  192. so the de-frammis'd VCR becomes re-frammis'd very quickly -- about
  193. as soon as they rent another videotape with the same contagious scratch
  194. on it. This often happens two or three times before victims junk the
  195. damn thing.
  196.  
  197. (3) Some victims bought a different frammis repair set from another
  198. vendor but it only works part of the time or if they decide to use it.
  199. Mostly they don't use it, though, because they don't care about their
  200. frammis'd VCR.
  201.  
  202. (4) Many victims' bosses won't let them fix the frammis'd VCR because
  203. it would cost money. Besides, says the boss, "We have someone whose
  204. job it is to fix these things, thank you! But he doesn't answer
  205. voice-mail today or was skinned by an ogre, I'm not sure which. Now
  206. stop bothering me or I'll downsize you the next time we massage the
  207. stock price for our shareholders."
  208.  
  209. (5) Or, victims think the frammis'd VCR is how all VCR's are supposed
  210. to be.
  211.  
  212. A year later Microsoft markets a new, improved VCR not as susceptible
  213. to the problem but the people who have the old, brokedown VCR's don't
  214. get any trade value. They have to pay Microsoft just like everyone
  215. else does. So some just stumble on with their crippled VCR's.  Some
  216. other VCR manufacturers who previously made VCR's that worked fine
  217. all the time make new models capable of being screwed up as badly as
  218. the Microsoft model even though they've known about the problem and
  219. laughed at it for some time. This is called progress.
  220.  
  221. Now, if you retell Crypt's story to someone else we can here them
  222. shout: "Hey, that's crazy!  No way that could happen or they'd burn
  223. people at the stake in those companies."
  224.  
  225. However, with a little cut and paste you can just plug Word viruses
  226. back into the place where I put "frammis" and Word 6 for "VCR." Now
  227. they'll say: "Yeah, it really stinks, but what can we do?"
  228.  
  229. This makes the Word "macro viruses" an almost perfect example of
  230. TEGWAR - an exciting game without any rules - in the software industry.
  231. The consumer or PC user in an institution uses Microsoft Winword
  232. and is largely unaware that specific electronic documents handled
  233. by it have the potential to bite him.  Microsoft ignores the
  234. phenomenon just long enough so it becomes solidly established
  235. then generates a "fix" that works poorly and which must be
  236. embroidered by other vendors.  Still more software developers
  237. jump into the breach with cures and advice - which take money - and
  238. that don't guarantee anything because they are poorly understood,
  239. poorly designed or a combination of the two.
  240.  
  241. Those trapped in Word macro virus TEGWAR lose money trying to
  242. burrow through the electronic trash heaps of on-line services,
  243. sifting and downloading information and software they can't
  244. understand most of the time. They twist and turn in a seemingly
  245. endless maze, buying software only to find it's the wrong software
  246. for them. Squirming, they buy the correct software only to find
  247. an obdurate supervisor won't let them use it throughout the
  248. institution.
  249.  
  250. Increasingly aggravated, those infected by Word virus TEGWAR sometimes
  251. see that pathogenic documents have the potential to spread the viruses
  252. in interesting ways through heterogenous combinations of machines and
  253. software with only one thing in common: Word's micro-environment.
  254. But they also find that anti-virus software designed to control
  255. infections is not quite so flexible.
  256.  
  257. Goaded by the lash of fragmentary, gossipy on-line electronic
  258. phlogiston passed on as the biblical wisdom of computer gurus,
  259. others trapped by Word virus TEGWAR run about in a blind frenzy
  260. searching for Word "macro virus" protective software until realizing
  261. in a moment of stunning clarity that they don't _use_ Winword!
  262.  
  263. So, the only rule that is a constant in Word virus TEGWAR is that
  264. if you play, you lose cash money.
  265.  
  266.  
  267.                                 *
  268.  
  269.        "Thank you very much, <put your name here>, for your thoughts.
  270.        This is something I've been giving a lot of consideration of
  271.        late. Sincerely, Bill."
  272.                     ---Bill Gates form reply to electronic mail.
  273.                     [Uncovered by David Applefield, March 1996]
  274.  
  275.                                 *
  276.  
  277.  
  278. Additional notes:
  279.  
  280. 1. The virus written for the Telix communications program was
  281. originally called LittleMess. It was programed by a Dutch virus-writer
  282. who travelled cyberspace under the handle of Crom-Cruach. Crom-Cruach
  283. reasoned LittleMess was of only trivial interest because he thought few
  284. people used the programming language interpreted by the Telix program
  285. -- which his computer virus exploited -- for anything important.  The
  286. name of the programming language interpreted by the Telix software is
  287. SALT.  Hang in there because this is a point of serendipitous interest.
  288.  
  289. The US Navy also runs (or ran) telecommunications software it
  290. calls - you guessed it -- SALTS. The Navy's SALTS terminal is a simple
  291. Windows or DOS-running PC using little more than an off-the-shelf version
  292. of Telix driven by a series of custom made Telix sub-programs (or "macros")
  293. that create an elaborate communications system for the computer. The
  294. SALTS program is an acronym for Streamlined Automated Logistical
  295. Transmission System. The SALTS software used on Navy PC's is responsible
  296. for logistical support and satellite-borne communications jobs ranging
  297. through inventory and tracking of ship stock, software
  298. management/distribution, Internet sessions and the sending and receiving
  299. of electronic mail and USO telegrams. Since the software running on the
  300. SALTS terminal is written in the same programming language exploited by
  301. the LittleMess Telix virus, the SALTS PC can be easily infected by it.
  302. In the average Telix-using hobbyist PC envisioned by the hacker
  303. Crom-Cruach in 1993, this amounted to barely a few infections of
  304. predominantly non-essential computer files. However, on an average US
  305. Navy SALTS computer terminal, the same virus would create a much more
  306. massive infection since the military's software relies on hundreds of
  307. sub-program files that could serve as hosts for LittleMess.
  308.  
  309. 2. The following text appeared in a Lawrence Livermore National Lab
  310. alert on Word Macro viruses.  It was supposed to be a clear
  311. tutorial on ridding yourself of the Word macro viruses by hand.
  312. No, Crypt Newsletter isn't tweezing it for effect:
  313.  
  314. "If you don't have a scanner or the protection macro, you can use the
  315. Organizer to find and remove macro viruses without infecting your
  316. system. The first step is to start Word and open the Organizer dialog
  317. box. There are two ways to open the Organizer: 1. use the Tools Macro
  318. command and press the Organizer button; 2. use the File Templates
  319. command and press the Organizer button. In the Organizer dialog box
  320. click the macros tab, click the Open File button, select the infected
  321. document and click OK. Back in the Organizer dialog box, select all the
  322. macros listed in the file and click the Delete button to remove them.
  323. Click the Close File button to close and save the file. The file can now
  324. be opened normally."
  325.  
  326. Crypt Newsletter challenges PC "help desk" employees to read that to
  327. someone over the telephone.
  328.  
  329. Here's some more strangled syntax from the same memo:
  330.  
  331. "PROBLEM:     Word macro viruses are no longer an isolated threat, but
  332. they are a significant hazard to the information on a computer."
  333.  
  334. In fairness, the Lawrence Livermore National Lab memo, also known
  335. as "CIAC (Computer Incident Advistory Capability) G-10: Winword Macro
  336. Viruses," is an honest attempt to get some information on
  337. a real computer hazard into as many hands as possible.  It's also
  338. possible for someone with good powers of concentration and a
  339. middling-to-exceptional grasp of PC computing systems to wring
  340. useful information from it.  However, more and more, these types
  341. of bulletins serve only to emphasize the disastrous point that the
  342. average PC user in the home or business environment and the people
  343. generating the technology very rarely speak language that is mutually
  344. understood. That's a gold-plated guarantor for interesting times.
  345.  
  346.