home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 (Alt) / The_Hacker_Chronicles_Volume_II-CD2.iso / virusl2 / virusl2.27 < prev    next >
Encoding:
Text File  |  1995-01-03  |  9.4 KB  |  206 lines
  1. VIRUS-L Digest             Thursday, 26 Jan 1989        Volume 2 : Issue 27
  2.  
  3. Today's Topics:
  4. PC hardware protection (PC)
  5. re: Request for definition of worms and trojan horses.
  6. Re: [LICHTBLS@DUVM.BITNET: nVir (init 29) (Mac)]
  7. Virus Prevention Guidelines
  8.  
  9. ---------------------------------------------------------------------------
  10.  
  11. Date:       Thu, 26 Jan 89 15:02:51 GMT
  12. From:       Martin Ward <martin@EASBY.DURHAM.AC.UK>
  13. Subject:    PC hardware protection (PC)
  14.  
  15. I have been considering the problem of trying to add some protection
  16. against Trojan Horse (and by implication virus-infected) programs to a
  17. PC. With a standard PC there appears to be NO protection against a
  18. malicious Trojan which lies dormant for a while (ie carries out its
  19. advertised function) and suddenly decides to trash all your file (or
  20. just change a random byte in a random file). This is because any
  21. program has total access to any bit of the hardware. Hence the only
  22. protection is a regular backup (the Trojan which randomly changes
  23. small areas of data could still take a while to find and therefore
  24. could do a lot of damage).
  25.  
  26. Other operating systems (eg UNIX) have protection mechanisms which
  27. (barring loopholes) prevent a user from accessing or modifying files
  28. he does not have permission for. This could be extended to the concept
  29. of "program" permissions: when an untrusted program is about to be run
  30. a trusted supervisor program gives write permission to only those
  31. files the untrusted program is allowed access to and then runs the
  32. program under that user id.
  33.  
  34. To implement this system on a PC requires extra hardware, (here is
  35. where I need some help from someone with more knowledge of PC
  36. hardware): I imagine a two-position switch (physical, hardware
  37. switch). In one position it allows full access to the disk and to an
  38. internal "permissions" table. In the other position it denies access
  39. to the "permissions" table and prevents access to any files not listed
  40. in the table. Moving the switch from the second to the first position
  41. should cause an automatic cold boot (this is so that a malicious
  42. program cannot "pretend" it has terminated and fool you into moving
  43. the switch). To execute an untrusted program you run a trusted program
  44. which looks up the files allocated to the untrusted program (in a
  45. file), sets up the permissions table and requests that you throw the
  46. switch.  It then waits for the switch to be moved and automatically
  47. runs the program.
  48.  
  49. No "untrusted" program should have access to the boot tracks,
  50. command.com files etc. or any executables, and should not be able to
  51. create "bad" sectors.  Hence the cold boot which occurs when the
  52. switch is moved back to the "trusted program" position should be
  53. perfectly safe.
  54.  
  55. Comments on the practicality etc. of this idea are welcomed!
  56.  
  57.             Martin.
  58.  
  59. My ARPANET address is:  martin%EASBY.DUR.AC.UK@CUNYVM.CUNY.EDU
  60. JANET: martin@uk.ac.dur.easby    BITNET: martin%dur.easby@ac.uk
  61. UUCP:  ...!mcvax!ukc!easby!martin
  62. Quote: "If God had intended Man to Smoke, He would have set him on Fire."
  63.  
  64. ------------------------------
  65.  
  66. Date: 26 January 1989, 10:07:43 EST
  67. From: David M. Chess <CHESS@YKTVMV.BITNET>
  68. Subject:  re: Request for definition of worms and trojan horses.
  69.  
  70. Well, the definitions we tend to use around here are something like this:
  71.  
  72.   A bug is something that a program does that neither the programmer
  73.   nor the user intended.
  74.  
  75.   A Trojan horse is a program that does something that the programmer
  76.   intended it to, but the user did not.  (And, generally, that the
  77.   user would not have approved of had he/she known about it.)
  78.  
  79.   A worm is a program that sends copies of itself through a network.
  80.  
  81.   A virus is, to quote Fred Cohen, "a program that can 'infect' other
  82.   programs by modifying them to include a possibly evolved copy of itself".
  83.  
  84. A program infected with a virus is usually a Trojan horse, since it
  85. does at least one thing (infecting other programs) that the user
  86. doesn't know about, and wouldn't approve of.   The (a?) key difference
  87. between a worm and a virus is that a virus is a code-fragment that
  88. hides within and spreads between *programs*, whereas a worm is a complete
  89. program (or program-set) that runs on and spreads between network-
  90. attached *computers*.  In a very deep theoretical sense, the two are
  91. different versions of the same thing (instructions that make copies
  92. of themselves at other places in a computing environment); but in
  93. practice, a program is different enough from a network-attached system
  94. that it makes sense to draw a distinction.
  95.  
  96. The Internet thing back in November was a worm, not a virus.  A
  97. copy of Pandas in Space that has been hacked to include code that
  98. erases all your files (but doesn't spread to other programs) is a
  99. Trojan horse, but not a virus or a worm.
  100.  
  101. Something like that...
  102.  
  103. DC
  104.  
  105. [Ed. Thank you for the clear definitions.  I received a plethora of
  106. similar definitions of virus/worm/trojan today; thanks to *everyone*
  107. who took the time to send in theirs!  I've included (only) this one
  108. here, not because it's any better (or worse) necessarily, but to cut
  109. down on redundancy/traffic.
  110.  
  111. J.D. Abolins made a very interesting point in the definition that he
  112. sent in: "Tom Kummer, in a recent posting, asked what is the
  113. difference between Trojan Horse program and worms as compared to
  114. viruses.  Before I post an off-the-cuff reply, I must mention that the
  115. terminology for 'bogusware' is very fluid.  The use of any word such as
  116. virus, worm, etc. has to be interpreted in the context of the person
  117. using the word and the actual workings of the program in question.
  118. 'One man's virus is another man's worm.'"  This points out the fact
  119. that there is much confusion (particularly in the media) as to the
  120. meaning of the above terms.  We must try to take such reports with a
  121. grain of salt, and figure out for ourselves what the author meant.
  122. The media still refers to the Internet Worm as the "Internet Virus"...]
  123.  
  124. ------------------------------
  125.  
  126. Date:         Thu, 26 Jan 89 11:16:09 EST
  127. From:         Joe McMahon <XRJDM@SCFVM.GSFC.NASA.GOV>
  128. Subject:      Re: [LICHTBLS@DUVM.BITNET: nVir (init 29) (Mac)]
  129.  
  130. >Subject:      nVir (init 29) (Mac)
  131. >
  132. >  I have encountered this new strain of nVir on a bunch of Mac II's
  133. >with Interferon, but have not been able to successfully eradicate the
  134. >infection.  Also Ferret, VirusRx, and virus detective are not able to
  135. >identify this virus.  The virus also shows up as a code segment ID 255
  136. >or 256 which is 712 bytes long as previously noted.  What is the best
  137. >way to eradicate this "thing"?  Is this new strain of any potential
  138. >danger to documents saved on a different disk or will it just cause
  139. >memory problems when the infected machine is used?
  140.  
  141. The INIT 29 virus is not a strain of nVIR. It is much more dangerous.
  142.  
  143. INIT 29 is far more infective than any Mac virus yet known. It gets
  144. into *EVERYTHING*. Documents, font (suitcase) files, printer drivers,
  145. the Desk Top file (the real one!); just about everything except (for
  146. some reason) MacPaint files.
  147.  
  148. When an infected program is run on a clean system, the INIT gets
  149. installed into the System file. When an infected program is merely
  150. COPIED TO A DISK, the Desk Top file gets infected.
  151.  
  152. Next boot, it infects every file with a resource fork that gets opened
  153. during the work session. *Inserting* a disk into an infected system
  154. will infect its Desk Top file, unless it is locked. If it is locked,
  155. you will get the "Disk needs minor repairs" dialog. DON'T FALL FOR IT!
  156. This is caused by the I/O error caused by the virus being unable to
  157. infect the Desk Top file. Unlocking the disk and reinserting it will
  158. get you.
  159.  
  160. It patches itself into applications, adding a new CODE segment with an
  161. ID 1 larger than the highest-numbered CODE resource. Bytes 9, 10, 11,
  162. and 12 of CODE 0 are patched to point to the virus; these bytes are
  163. moved to bytes 16, 17, 18 and 19 of the virus. For some reason,
  164. multiple copies of the virus get copied into some applications.
  165.  
  166. The only application which can clean up infected *documents* (not
  167. applications) is VirusDetective(tm) 2.0. It is already configured to
  168. do so. Use its "delete infection" option to erase the INIT 29
  169. resource. Applications should be replaced from clean copies. You might
  170. try using the patch information noted above for irreplaceable
  171. applications.
  172.  
  173. This is a very, very nasty virus. BE CAREFUL! GateKeeper should
  174. probably be able to stop it; I don't think Vaccine is totally
  175. resistant to it.
  176.  
  177. Virus Detective 1.2 does not dependably remove the infection: it does
  178. not deal properly with locked resources, whereas the virus DOES. It
  179. may tell you that it has deleted the infection, when it has done no
  180. such thing.
  181.  
  182.  --- Joe M.
  183.  
  184. ------------------------------
  185.  
  186. Date: Thu, 26 Jan 89 13:12 EST
  187. From: Roman Olynyk - Information Services <CC011054@WVNVMS.BITNET>
  188. Subject: Virus Prevention Guidelines
  189.  
  190. Computer World (Jan. 9) had a article which referenced virus prevention
  191. guidelines:
  192.    "Del Jones, managing director of the National LAN Laboratory in
  193.    Reston, VA., has issued a set of guidelines on virus prevention
  194.    and control endorsed by about 70 manufacturers."
  195. A subsequent reference to another CW article didn't discuss these
  196. guidelines.
  197.  
  198. Can anyone help me get a handle on these guidelines or where I might
  199. actually find them?
  200.  
  201. ------------------------------
  202.  
  203. End of VIRUS-L Digest
  204. *********************
  205.  
  206. Downloaded From P-80 International Information Systems 304-744-2253
  207.