home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / V101PT3 < prev    next >
Text File  |  1989-04-26  |  19KB  |  319 lines
  1. Portal-Rmail-To: garyt@cup.portal.com
  2. Received: by portal.com (3.2/Portal 8)
  3.     id AA13166; Wed, 26 Apr 89 01:38:31 PDT
  4. Received: from Sun.COM (arpa-dev) by sun.Sun.COM (4.0/SMI-4.0)
  5.     id AA18573; Tue, 25 Apr 89 23:08:58 PDT
  6. Received: from sun by Sun.COM (4.1/SMI-4.0)
  7.     id AB12617; Tue, 25 Apr 89 23:08:11 PDT
  8. Message-Id: <8904260608.AB12617@Sun.COM>
  9. Received: from LEHIIBM1.BITNET by IBM1.CC.Lehigh.Edu (IBM VM SMTP R1.2) with BSMTP id 5946; Wed, 26 Apr 89 02:02:49 EDT
  10. Received: by LEHIIBM1 (Mailer R2.03A) id 5722; Wed, 26 Apr 89 02:02:45 EDT
  11. Date:         Wed, 26 Apr 89 02:02:44 EDT
  12. From: Revised List Processor (1.5o) <LISTSERV@IBM1.CC.Lehigh.Edu>
  13. Subject:      File: "V101 3" being sent to you
  14. To: "Gary F. Tom" <sun!portal!cup.portal.com!garyt>
  15.  
  16. Subject: Virus 101: Chapter 3
  17. From: woodside@ttidca.TTI.COM (George Woodside)
  18. Newsgroups: comp.sys.atari.st,comp.sys.apple,comp.sys.mac,comp.sys.ibm.pc
  19. Date: 13 Mar 89 14:24:23 GMT
  20. Reply-To: woodside@ttidca.tti.com (George Woodside)
  21. Organization: Citicorp/TTI, Santa Monica
  22.  
  23. First, the mail:
  24.  
  25. Addressing a controversial topic is sure to generate some strong responses,
  26. and this one is no exception. Mail of the "Thank You" flavor outweighs the
  27. "You Idiot" flavor by about 4-1, so I'll be pressing on. The majority of the
  28. "You Idiot" mail is from senders who either admit, or display, limited
  29. programming ability. For the benefit of those individuals: I appreciate your
  30. concern. I am not attempting to aid in the spread of viruses, but in your
  31. own understanding of them, and ability to defend yourself. People with the
  32. ability to create a working virus will have found little or nothing they
  33. didn't already know in the preceeding postings. There is certainly nothing
  34. in them that isn't already available in the most fundamental books about
  35. personal computers. The preceeding postings are also written at a
  36. superficial level, and are missing quite a few specific things necessary to
  37. make a real working virus. Those missing items would add nothing to the
  38. layman's understanding of how a virus spreads or works, so are not included.
  39. You need not take my word for this; contact anyone you know who is
  40. knowledgeable in the system software field, and they will confirm it.
  41.  
  42. Sin of omission:
  43.  
  44. Part of a message received from Forrest Gehrke (feg@clyde.att.com):
  45.  
  46. ...One method for a virus finding enough space to hide itself, that I have
  47. seen, you have not mentioned. I have noticed that the so-called Pakastani
  48. virus uses non-standard sectoring at tracks 37 and 38 for IBM PC
  49. diskettes...
  50.  
  51. Mr. Gehrke is quite right. I did forget to mention this technique. While I
  52. had heard rumors of it being in use, I hadn't seen it in any of the virus
  53. code I've captured (again, I'm in the Atari ST world).
  54.  
  55. I have responded to all mail I have recieved (if it requested a response)
  56. including mailing out copies of missed chapters. Several responses have been
  57. returned by various mailers. If you requested something, and haven't heard
  58. from me, either your request or my response failed.
  59.  
  60. Now, Chapter 3:
  61.  
  62. Once a virus has installed itself, and replicated as frequently as it has
  63. found the opportunity, it will eventually launch whatever form of attack it
  64. was originally designed to do. That attack is the real purpose of the
  65. existance of the virus. Everything up to this point has been for the sake of
  66. getting to this stage.
  67.  
  68. What will it do? Almost anything. The limits are imagination and code space.
  69. The most benign virus I've seen claims to be an anti-virus. It blinks the
  70. screen on boot-up. The idea is that if you see the screen blink, you know
  71. that the benign virus is on the disk, rather than a more malicious one. It
  72. does, however, spread itself just like any other virus. From there, things
  73. proceed through the prank levels, time-triggered, messages, ones which try
  74. to simulate hardware failures, to ones which destroy files and disks. The
  75. actions vary from virus to virus. And, of course, there is a whole different
  76. library of viruses for each machine type. Attempting to detect a virus by
  77. describing or recognizing the symptoms is not only a task of limitless
  78. proportions, it is too little too late. When the symptoms appear, the damage
  79. has already been done.
  80.  
  81. Several viruses attempt to simulate hardware problems. (Conversly, I've had
  82. several pleas for help with a virus that proved to be other types of
  83. failures.) Frequently these viruses use timers to delay their actions until
  84. the system has been running for some time, and to spread out their
  85. activities to make the problem appear intermittent. Such virus induced
  86. glitches include occasionally faking succesful disk I/O, while actually not
  87. performing the read or write, altering the data being read or written, and
  88. (more commonly) screen display glitches. It is very difficult for anyone to
  89. determine whether such incidents are the results of a virus, or a real
  90. hardware problem. When such incidents start to occur on your system, start
  91. executing whatever virus detection software you have available, before
  92. lugging your system off to a service firm.
  93.  
  94. Previously, I mentioned the use of write protected disks as a step in the
  95. right direction to protect yourself. A large percentage of personal computer
  96. systems now use hard disk systems. Floppy disks are more often a backup
  97. media, or offline storage of files not needed on the hard disk for day to
  98. day use. Backing up requires the disks to be writeable, as does archiving
  99. off the infrequently used files. It is good practice to write protect the
  100. archived disks as soon as the files are copied to them. Run whatever virus
  101. checking software you have on the archive disks, write protect them, and
  102. then file them away.
  103.  
  104. (When reading the following suggestions about protecting your system from
  105. attacks, keep in mind that not all techniques can be applied to all systems
  106. or all software. Read the documentation accompanying the software before
  107. your first attempt to use it. Be familiar with what it is expected to do
  108. before you run it, and you'll be more able to recognize unexpected activity.)
  109.  
  110. The next step is to apply write protection to whatever disks you recieve
  111. software distributed on, before ever inserting them into a computer. Be they
  112. Public Domain, User Group Libraries, Commercial Software, or whatever, write
  113. protect them before you first read them. Then, make a backup copy if
  114. possible. Finally, when first executing the new software, have only write
  115. protected disks in your system. You should be well aware of any legitimate
  116. attempt to write to a disk by the software before it happens, and have
  117. adequate opportunity to insert a writeable disk when the proper time comes.
  118. This will not only give you a clue to the presence of a virus in the new
  119. software, but also protect the new software from a virus already resident in
  120. your system.
  121.  
  122. If your system supports the use of a RAM disk, copy new software into the
  123. RAMdisk before executing it the first time. Put write protected disks in
  124. the drives, then execute the software from the RAMdisk. If the software has
  125. no reason to access other disks, especially when starting itself up, be
  126. very suspicious of any disk activity. The most common time for a virus or
  127. trojan horse program to do it's dirty work is at startup, when it is
  128. impossible to tell whether disk access is part of program loading, or some
  129. clandestine operation. By having the software loaded into and executing
  130. from memory, you will be able to detect any disk I/O which occurs.
  131.  
  132. Finally, backup everything. Hard disks, floppy disks, tapes, whatever. Make
  133. backup copies, write protect them, and store them in a safe place off-line.
  134. If you are attacked by a dstructive virus, your first problem is to rid your
  135. system of the virus. Do not go to your off-line backups until you have
  136. determined if your problem came from a virus, and if so, that you have
  137. removed it from the system. A backup is useless if you give a virus a chance
  138. to attack it as well as your working copy.
  139.  
  140. A significant portion of these three chapters have been related to boot
  141. sector viruses. While the most common t