home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / org / eff / talk / 8619 < prev    next >
Encoding:
Text File  |  1993-01-12  |  2.1 KB  |  54 lines
  1. Newsgroups: comp.org.eff.talk
  2. Path: sparky!uunet!van-bc!rsoft!mindlink!a3916
  3. From: Clayten_Hamacher@mindlink.bc.ca (Clayten Hamacher)
  4. Subject: Re: Beneficial Virus
  5. Organization: MIND LINK! - British Columbia, Canada
  6. Date: Tue, 12 Jan 1993 06:34:13 GMT
  7. Message-ID: <19534@mindlink.bc.ca>
  8. Sender: news@deep.rsoft.bc.ca (Usenet)
  9. Lines: 43
  10.  
  11. >>One possible problem would be a malicious virus masquerading as a
  12. >>valid marker file.  Then any file compressed with the beneficial
  13. >>virus would activate the malicious virus - some sort of check would
  14. >>have to be made that the virus was the *RIGHT* virus.
  15. >
  16. >With all the attendant troubles of verification and the slowdown it
  17. >will present.
  18.  
  19. Do you check all the rest of the programs on your system? They are just as
  20. likely to have 'evil twins' lurking around.
  21.  
  22. >Note that this would change the creation date of every executable
  23. >every time the program was run.  Even on a single-user MS-DOS system,
  24. >this can have some undesirable results.
  25.  
  26. Like what? Your half-witted virus checker goes off and shuts down the
  27. computer?
  28. In almost every OS I've ever used there has been a way to fake the
  29. modification
  30. date, in unix you just write a new date, in MS-DOS if nothing else you just
  31. record the current time, set the clock to the old modification date, write
  32. the
  33. file, set the clock to the time you just recorded plus about two seconds..
  34. And
  35. decent virus could do it so it's not a very good way to tell if you're
  36. infected.
  37.  
  38. >>Having considered the infected file, let's consider the virus in operation.
  39. >>It is assumed that the virus has only been placed in memory after it has
  40. >>been verified that the marker was present, and it is okay for it to run.
  41. >
  42. >Does the virus get removed from memory after the executable stops?  If not,
  43. >then what happens when another executable is run?
  44.  
  45. You do understand the meaning of the word 'virus' don't you? If it finds the
  46. marker (ie it's ok to execute) then it does what the name suggests and
  47. infects
  48. the next executables that you run. If it doesn't find that permission then it
  49. quits operation after unpacking the program.
  50.  
  51. --
  52.  
  53. Clayten_Hamacher@Mindlink.bc.ca                 Land of the rising snow.
  54.