home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / cud5 / cud512h.txt < prev    next >
Encoding:
Internet Message Format  |  1995-01-03  |  5.9 KB
  1. Date: 05 Feb 93 11:51:29 EST
  2. From: The Crypt Newsletter <70743.1711@COMPUSERVE.COM>
  3. Subject: File 8--Some Comments on "Approach Zero" (review)
  4.  
  5. Dear CuD:
  6.  
  7. I'm sure a number of your readers have, by now, browsed through the
  8. February issue of Discover magazine and seen the excerpt from another
  9. book on "hackers" called "Approaching Zero," to be published by Random
  10. House. The digested portion is from a chapter dealing with what
  11. authors' Bryan Clough and Paul Mungo call "the Bulgarian virus
  12. connection."
  13.  
  14. While I found it interesting - outwardly a brightly written article -
  15. to someone a little more familiar with the subject matter than the
  16. average Discover reader, it was another flawed attempt at getting the
  17. story right for a glossy magazine-type readership.
  18.  
  19. First, I was surprised that reporters Mungo and Clough fell short of
  20. an interview with virus author, the Dark Avenger.  Since they spent so
  21. much time referring to him and publishing a few snippets of his mail,
  22. it was warranted, even if he is a very tough contact.
  23.  
  24. In addition, they continually exaggerate points for the sake of
  25. sensationalism. As for their claim that the Dark Avenger's "Mutating
  26. Engine"  maybe being the "most dangerous virus ever produced," there's
  27. no evidence to support it.  And they continue the hallowed media
  28. tradition of calling the Mutation Engine a virus. It's not. The
  29. Mutation Engine is a device which can be included in virus code to
  30. grant the virus a sophisticated, variable encryption.  That's all.  It
  31. does not automatically make a virus horribly destructive, that's a
  32. feature virus-writers put into viruses separate from the Engine.  And
  33. although the first Mutation Engine viruses introduced into the U.S.
  34. could not be detected by scanners included in commercial anti-virus
  35. software, most of these packages included tools to monitor data
  36. passively on any machine.  These tools COULD detect Mutation Engine
  37. viruses, a fact that can still be demonstrated with copies of the
  38. software. It's also a fact that almost everyone covering the Mutation
  39. Engine angle glosses over, if they bother to mention it at all. In any
  40. case, Mutation Engine code is well understood and viruses equipped
  41. with it are now no more hidden than viruses which don't include it.
  42.  
  43. Of greater interest, and an issue Mungo and Clough don't get to, is
  44. the inspiration the Dark Avenger Mutation Engine supplied to virus
  45. programmers.  By the summer of 1992, disassembled versions of the
  46. Mutation Engine were widely available on underground BBS's in this
  47. country and abroad.  It seemed only a matter of time before similar
  48. code kernels with more sophisticated properties popped up and this has
  49. been the case.  Coffeeshop, a virus mentioned in the original Discover
  50. piece, is just such an animal, although the authors don't get into it.
  51. Coffeeshop utilizes a slightly more sophisticated variable encryptor -
  52. called the Trident Polymorphic Engine - which adds a few features not
  53. present in the Dark Avenger model.  It, too, has been distributed in
  54. this country as a device which can be utilized by virus authors
  55. interested in shot gunning it into their own creations.  It is of
  56. Dutch origin, produced by a group of programmers operating under the
  57. name "TridenT."  They freely acknowledge the inspiration of the
  58. Mutation Engine. Curiously,  Coffeeshop is Dutch slang for a place to
  59. pick up some marijuana.  Interesting, is it not?
  60.  
  61. However, the Trident Polymorphic Engine is no more inherently
  62. dangerous than the Mutation Engine.  Viruses utilizing it can be
  63. detected by the same tools used to detect Mutation Engine viruses
  64. before those could be scanned.
  65.  
  66. The reporters also claim that disassembling a virus to find out what
  67. it does is a "difficult and time-consuming process" capable of being
  68. carried out "only by specialists."  This is another myth which feeds
  69. the perception that viruses are incredibly complicated and that one
  70. can only be protected from them by the right combination of
  71. super-savvy experts.
  72.  
  73. It has NO basis in reality.  Almost all computer viruses can be
  74. disassembled within 5-10 minutes by individuals with only a modest
  75. understanding of computer programming and access to one or two common
  76. diagnostic programs. The programs are so user-friendly they can even
  77. print out a summary of a virus's key instructions!  It's a complete
  78. myth that anyone needs to be some kind of high-powered programming
  79. expert to understand and analyze computer viruses.
  80.  
  81. And that's what's the most irritating about Mungo and Clough's
  82. research.  In search of the cool story, they further the dated idea
  83. that virus-programming is some kind of arcane art, practiced by "manic
  84. computer freaks" living in a few foreign countries where politics and
  85. the economy are oppressive .  While it's true that a few viruses are
  86. clever, sophisticated examples of programming, the reality is that
  87. almost anyone (from 15-year olds to middle-aged men) with a minimal
  88. understanding of assembly language can write them from scratch or
  89. cobble new ones together from pieces of found code.
  90.  
  91. Since everyone's computers DON'T seem to be crashing from viral
  92. infection right and left (remember Michelangelo?), Mungo and Clough,
  93. in my opinion, really stretch the danger of the "Bulgarian virus
  94. factory." This is such an old story it has almost become shtick, a
  95. routine which researcher Vesselin Bontchev (apparently Clough and
  96. Mungo's primary source) has parlayed into an intriguing career.
  97.  
  98. A great number of the 200 or so Bulgarian viruses the reporters
  99. mention in fear-laden terms ARE already here, too  - stocked on a
  100. score of BBS's run by programmers and computer enthusiasts.  Mungo and
  101. Clough years." That's an easy, leading call to make because no one
  102. will remember or hold them to it in 2000.  I suggest "We don't know."
  103. Now that would have been more honest. But I doubt if it would have
  104. sold as well.
  105.  
  106. Downloaded From P-80 International Information Systems 304-744-2253
  107.