home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / org / eff / talk / 8634 < prev    next >
Encoding:
Text File  |  1993-01-12  |  3.0 KB  |  71 lines
  1. Newsgroups: comp.org.eff.talk
  2. Path: sparky!uunet!gatech!emory!nastar!phardie
  3. From: phardie@nastar.uucp (Pete Hardie)
  4. Subject: Re: Beneficial Virus
  5. Message-ID: <1993Jan12.161244.11179@nastar.uucp>
  6. Organization: Digital Transmission Systems, Duluth, GA.
  7. References: <19534@mindlink.bc.ca>
  8. Date: Tue, 12 Jan 1993 16:12:44 GMT
  9. Lines: 60
  10.  
  11. In article <19534@mindlink.bc.ca> Clayten_Hamacher@mindlink.bc.ca (Clayten Hamacher) writes:
  12. >>>One possible problem would be a malicious virus masquerading as a
  13. >>>valid marker file.  Then any file compressed with the beneficial
  14. >>>virus would activate the malicious virus - some sort of check would
  15. >>>have to be made that the virus was the *RIGHT* virus.
  16. >>
  17. >>With all the attendant troubles of verification and the slowdown it
  18. >>will present.
  19. >
  20. >Do you check all the rest of the programs on your system? They are just as
  21. >likely to have 'evil twins' lurking around.
  22.  
  23. This isn't what I meant.  I meant that the BCV is slower because *if* it
  24. does this check, since it needs to perform the verification, which is only
  25. foolproof if the check is of the whole code, and the check *does* slow down
  26. the execution of the real program beneath the virus.
  27.  
  28. >>Note that this would change the creation date of every executable
  29. >>every time the program was run.  Even on a single-user MS-DOS system,
  30. >>this can have some undesirable results.
  31. >
  32. >Like what? Your half-witted virus checker goes off and shuts down the
  33. >computer?
  34. >In almost every OS I've ever used there has been a way to fake the
  35. >modification
  36. >date, in unix you just write a new date, in MS-DOS if nothing else you just
  37. >record the current time, set the clock to the old modification date, write
  38. >the
  39. >file, set the clock to the time you just recorded plus about two seconds..
  40. >And
  41. >decent virus could do it so it's not a very good way to tell if you're
  42. >infected.
  43.  
  44. Again, the point is that it needs to be done, and it slows down the system,
  45. and on the MSDOS system it can result in misdated files should any other
  46. activities write a file during that window.
  47.  
  48. >>Does the virus get removed from memory after the executable stops?  If not,
  49. >>then what happens when another executable is run?
  50. >
  51. >You do understand the meaning of the word 'virus' don't you? If it finds the
  52. >marker (ie it's ok to execute) then it does what the name suggests and
  53. >infects
  54. >the next executables that you run. If it doesn't find that permission then it
  55. >quits operation after unpacking the program.
  56.  
  57. a Mac virus can infect the Chooser (Finder?), which is 'running' all the time, 
  58. and will allow the virus to attach itself to each executable as it is run,
  59. or any virus could infect the boot code and the infect all executables at
  60. next boot, or just one more at each boot, or....
  61.  
  62. 'Virus' describes only the propagation method,  and (relative) size of the
  63. thing - it does not define the mechanics of infection.
  64.  
  65.  
  66. -- 
  67. Pete Hardie:  phardie@nastar  (voice) (404) 497-0101
  68. Digital Transmission Systems, Inc., Duluth GA
  69. Member, DTS Dart Team           |  cat * | egrep -v "signature virus|infection" 
  70. Position:  Goalie               |
  71.