home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / cud / cud544.txt < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  47.7 KB
  1. Path: vanbc.wimsey.com!cyber1.cyberstore.ca!math.ohio-state.edu!cs.utexas.edu!chinacat!not-for-mail
  2. Newsgroups: comp.society.cu-digest
  3. From: Cu-Digest (tk0jut2@mvs.cso.niu.edu)              <TK0JUT2%NIU.BITNET@UICVM.UIC.EDU>
  4. Subject: Cu Digest, #5.44  / Re-send of 16 June Bounced Mailing
  5. Date: Wed, 23 Jun 1993 23:50:36 CDT
  6. Message-ID: <1993Jun23.235036.18772@chinacat.unicom.com>
  7. Organization: the Computer Underground Digest gateway
  8. Reply-To: tk0jut2@mvs.cso.niu.edu
  9. Approved: usenet@chinacat.unicom.com (mail-to-news gateway)
  10. Sender: usenet@chinacat.unicom.com (mail-to-news gateway)
  11. Lines: 965
  12.  
  13.  
  14. Computer underground Digest    Wed June 16 1993   Volume 5 : Issue 44
  15.                            ISSN  1004-044X
  16.  
  17.        Editors: Jim Thomas and Gordon Meyer (TK0JUT2@NIU.BITNET)
  18.        Archivist: Brendan Kehoe
  19.        Shadow-Archivists: Dan Carosone / Paul Southworth
  20.                           Ralph Sims / Jyrki Kuoppala
  21.                           Ian Dickinson
  22.        Copy Editor: Etaoin Shrdlu, Seniur
  23.  
  24. CONTENTS, #5.44 (June 16 1993)
  25. File 1--Interview with a Virus Writer (Gray Area Excerpt)
  26.  
  27. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
  28. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
  29. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
  30. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
  31. 60115.
  32.  
  33. Issues of CuD can also be found in the Usenet comp.society.cu-digest
  34. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
  35. LAWSIG, and DL0 and DL12 of TELECOM; on GEnie in the PF*NPC RT
  36. libraries and in the VIRUS/SECURITY library; from America Online in
  37. the PC Telecom forum under "computing newsletters;"
  38. On Delphi in the General Discussion database of the Internet SIG;
  39. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
  40. WHQ) 203-832-8441 NUP:Conspiracy
  41. CuD is also available via Fidonet File Request from 1:11/70; unlisted
  42. nodes and points welcome.
  43. EUROPE:   from the ComNet in LUXEMBOURG BBS (++352) 466893;
  44.           In ITALY: Bits against the Empire BBS: +39-461-980493
  45.  
  46. ANONYMOUS FTP SITES:
  47.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
  48.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
  49.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
  50.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
  51.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
  52.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
  53.  
  54. COMPUTER UNDERGROUND DIGEST is an open forum dedicated to sharing
  55. information among computerists and to the presentation and debate of
  56. diverse views.  CuD material may  be reprinted for non-profit as long
  57. as the source is cited. Authors hold a presumptive copyright, and
  58. they should be contacted for reprint permission.  It is assumed that
  59. non-personal mail to the moderators may be reprinted unless otherwise
  60. specified.  Readers are encouraged to submit reasoned articles
  61. relating to computer culture and communication.  Articles are
  62. preferred to short responses.  Please avoid quoting previous posts
  63. unless absolutely necessary.
  64.  
  65. DISCLAIMER: The views represented herein do not necessarily represent
  66.             the views of the moderators. Digest contributors assume all
  67.             responsibility for ensuring that articles submitted do not
  68.             violate copyright protections.
  69.  
  70. ----------------------------------------------------------------------
  71.  
  72. Date: 16 Jun 93 22:22:43 CDT
  73. From: GRAY AREAS <grayarea@well.sf.ca.us>
  74. Subject: File 1--Interview with a Virus Writer (Gray Area Excerpt)
  75.  
  76.  **A NUMBER OF USENET SITES REPORTED THAT THEY DID NOT RECEIVE
  77.    CuD 5.44. THEREFORE, WE ARE RESENDING TO THE ENTIRE GROUP.
  78.    WE APOLOGIZE FOR DUPLICATION FOR THOSE WHO MAY HAVE ALREADY
  79.    RECEIVED IT -- Jim and Gordon
  80.  
  81. ((MODERATORS' NOTE: The following reprint from GRAY AREAS (Issue #3,
  82. 1993) is an edited summary of an interview with a writer of computer
  83. viruses. The summary constitutes less than 20 percent of the entire
  84. interview, so considerable detail has been omitted.  We apologize if
  85. we inadvertently over-truncated parts of the discussion for space
  86. constraints.
  87.  
  88. GRAY AREAS is a new hard-copy magazine (see CuD 4.65 for a review)
  89. that improves with each issue. Each issue addresses topics in "cutting
  90. edge" culture, including technology, art, music, and leisure. The
  91. current issue (#3) includes an interview with controversial musician
  92. G.G. Allin. Netta Gilboa impresses us as one of the most competent
  93. interviewers on the 'Zine scene, and does for print media what Mike
  94. Wallace and Barbara Walters do for television: She brings incisive
  95. questions to bear on her topic and elicits uncompromising information
  96. (in the Wallace tradition) while never losing sight of the subjects'
  97. humanity (in the Walters tradition).  In our view, it's definitely
  98. something worth looking at.
  99.  
  100. A one year (four issue) subscription is available for $18 from Gray
  101. Areas, Inc. / P.O. Box 808 / Broomall, PA (19008-008).  More
  102. information can be obtained from grayarea@well.sf.ca.us))
  103.  
  104. NOTE: THE FOLLOWING COPYRIGHT MATERIAL MAY NOT BE SEPARATELY
  105. RE-DISTRIBUTED OR CITED WITHOUT EXPLICIT PERMISSION FROM GRAY AREAS
  106.  
  107. +++++
  108.  
  109. GETTING GRAY WITH URNST KOUCH, COMPUTER VIRUS WRITER
  110. By Netta Gilboa
  111.  
  112. Many people will dismiss Urnst before they hear what he has to say.
  113. Others will hear what they want to instead of what he actually said.
  114. Those of you who are willing to listen to his reasoning will find the
  115. complex subject of viruses simplified and demystified. Viruses may
  116. never again seem as scary.
  117.  
  118. I was surprised to learn writing and exchanging viruses is not
  119. illegal. I was surprised to learn virus writers (for the most part)
  120. look down on pirate files and pirate computer BBSs. I also learned
  121. about several new viruses before the anti-virus community did which
  122. seemed strange to me since it was their full time job and just one of
  123. many stories to me.
  124.  
  125. Whatever you think about Urnst's actions, you'll probably agree with
  126. him that viruses are here to stay with new ones being created every
  127. day. There's material here for everyone. Whether your main interest is
  128. in how to avoid getting stung by a virus, learning how to write one,
  129. or in understanding people who do this for fun, read on.
  130.  
  131. We're certainly interested in your reactions, pro and con. Did you get
  132. hit by a virus that was more than a minor inconvenience?  Did your
  133. opinion about viruses change at all as a result of reading this? Would
  134. you like to hear from other, more malicious virus writers and/or from
  135. the experts who defeat these viruses?  We'll print as much of your
  136. mail as we can. Viruses are surely as gray a topic as topics get...
  137.  
  138. Gray Areas: What is a computer virus?
  139.  
  140. Urnst Kouch: A computer virus, in simplest terms, is a small program
  141. that must generally have two features associated with it.  It has to
  142. be able to find another executable program, so it has to have a search
  143. mechanism, and it has to be able to duplicate itself and attach itself
  144. to a program. So that the next time that program is executed, the
  145. virus executes first. You can think of it as a very small piece of
  146. code that when executed like any program goes out and attaches itself
  147. to another program on your computer such as your word processor. When
  148. you next fire up your word processor, the virus will execute first
  149. because it has placed an instruction at the beginning of your program.
  150. There are many more primitive forms of viruses which don't bother
  151. preserving the integrity of your original program. When they are
  152. executed the first time, they go out and search for another program
  153. and they just write themselves down on top of it. They don't care
  154. about preserving the functionality of the program that they've found.
  155. They essentially just destroy the portion that they have taken up
  156. residence in, and then the next time you would execute your word
  157. processor, it has been infected by this virus, called an overwriting
  158. virus. The virus will then execute again and then look for another
  159. program and your word processor won't execute because it's been
  160. destroyed. You will get a cryptic error message which generally is
  161. generated by the virus.
  162.  
  163. GA: Oops!
  164.  
  165. UK: Oops, usually there is an oops message in there. This is something
  166. people notice right away. Oh, it's not working.  Occasionally, some
  167. virus programmers get a little more clever and put a little message in
  168. the virus so the virus when it's done finding other programs to infect
  169. prints a message to the screen that says out of memory or some other
  170. DOS error message.
  171.  
  172. GA: Any particular reason you chose the handle Urnst Kouch?
  173.  
  174. UK: No. (Laughs) Just a name.
  175.  
  176. GA: So in other words, it is not someone's name from history or
  177. anything?
  178.  
  179. UK: No. I got tired of seeing the same names. I've seen so many Count
  180. Zeros and Kilgore Trouts.
  181.  
  182. GA: So it was an attempt to be unusual?
  183.  
  184. UK: I don't know if it was an attempt to be unusual. It was just a
  185. name that popped into my head. If you really want to know where it
  186. came from, there used to be a jeans or a sneakers commercial.  It said
  187. life is short so play hard, so I just thought, oh well, there's a
  188. great commercial, change it to what most Americans wish it would be,
  189. life is short, lay on the couch. So, that's how the Kouch came about.
  190. Now I needed something to go in front of that.  I thought Kouch
  191. sounded vaguely dramatic. Urnst is kind of German. That's where it
  192. came from, just a name. People could almost think that it's a real
  193. name, normally. Stretching.
  194.  
  195. GA: What demographics about yourself can you share with our readers?
  196.  
  197. UK: I'm about 35. I have a Ph.D. in chemistry.
  198.  
  199. GA: How did you personally get interested in viruses?
  200.  
  201. UK: Well, part of it came out of 1992 when the general media began
  202. covering Michelangelo in such a hysterical panic.  I smelled a rat.
  203. This seemed absurd so, knowing something about computers, I started
  204. researching. I eventually wound up writing on it. During my course of
  205. research I wanted to dig up some viruses so that I could have a look
  206. see for myself and, of course, the people in the anti-virus
  207. communities did not turn out to be very forthcoming when I asked for a
  208. few samples of viruses.
  209.  
  210. GA: They don't even seem to want to answer theoretical questions.
  211.  
  212. UK:  No, they don't even like to do that. So I just went out and
  213. assumed that there was probably a lot of virus code lying around in
  214. underground channels. And this was the case. This leads to a kind of
  215. leveraging effect whereby once you accumulate certain things and start
  216. talking about them, then the more respected avenues begin to open up
  217. for you and the anti-virus researchers take you seriously which is
  218. kind of hypocritical, but it's the way things are. To get access to
  219. some of the virus archives on underground sites, you have to come up
  220. with an original virus that they don't already have. You can either go
  221. out and try and find one, which isn't that hard, or you can write one
  222. yourself and upload it. So that's what I did. It's not hard to write a
  223. virus, and I somehow found a copy of the Mutation Engine which I
  224. thought was interesting.
  225.  
  226. GA: You should explain what that is, especially for people who don't
  227. own computers.
  228.  
  229. UK: The Mutation Engine was briefly mentioned around the time of
  230. Michelangelo as a product by a Bulgarian programmer known as The Dark
  231. Avenger. He's famous in the virus community, well-known to anti-virus
  232. people too. He's written a series of viruses which have found their
  233. way into the West and he's known for trying to make challenging codes.
  234. I guess that would be the best way to express it. Then last year he
  235. uploaded something called Mutation Engine which was a segment of code
  236. which provided any virus that included it with variable encryption.
  237. Now when I am saying variable encryption, some viruses use encryption.
  238. All encryption does is when the virus is done doing it's thing,
  239. finding a file to infect, it will copy itself into that file at this
  240. point, and will encrypt its instructions so that it looks like a hunk
  241. of nonsense attached to the end of the file. The only part of the
  242. virus that remains constant is the decryptor which the encryption
  243. routine adds. The decryptor is the portion that the virus needs to
  244. ungarble all the instructions.
  245.  
  246. When the infected file is executed, the decryptor is the first thing
  247. to begin to work in it. Now, if you hide suspicious messages in your
  248. virus, when someone is looking at a suspected infected program under a
  249. file viewer which are pretty common tools in utility programs, you
  250. don't want a dead giveaway like, "Ha, Ha, I've got you or f--- you
  251. lamer," sorry for my French but we will be blunt. That's what's in a
  252. lot of stupidly written viruses. And so a simple encryption routine
  253. allows you to hide those kinds of things.
  254.  
  255. How the Mutation Engine differs is that it provides variable
  256. decryption that has a complex mechanism in which it changes the scheme
  257. of encryption so every time the virus copies itself it adds a
  258. different decryptor on a random basis. The decryptor will change the
  259. content of its instructions; it could change in size, this makes
  260. finding a constant set of instructions impossible because it's
  261. constant. It is a very sophisticated piece of programming and in
  262. comparison to the viruses that it's used in, it is much larger: about
  263. 2,000 bytes in size, where most viruses are about 200 or 300 bytes in
  264. size. Mutation Engine viruses benefit from this variable encryption
  265. since scanners, at the time of its release, could not detect viruses
  266. using it. Some still do have some difficulty doing that because a
  267. whole different approach to virus scanning had to be programmed into
  268. the utilities that the manufacturers were making. Now they had to be
  269. able to disassemble the infected file, looking for sets of
  270. instructions, characteristic of the decryptor that the Mutation Engine
  271. used. Without getting too technical, you can use statistical methods
  272. to do this. If you load it into a symbolic debugger and step through
  273. it, you can see that the decryptor follows a pattern. It always
  274. changes every generation, but there is always a constant pattern going
  275. on there.
  276.  
  277. Good programmers can see this and program that into their software so
  278. that the pattern characteristic of the Mutation Engine code can be
  279. flagged. Then we know that the Mutation Engine is there. It was blown
  280. out of proportion because it has a sexy name. The significance I think
  281. of the Mutation Engine is the inspiration it has provided for virus
  282. programmers worldwide.
  283.  
  284. GA: So, basically, you have been involved and interested in this for
  285. about a year?
  286.  
  287. UK: Yeah. To get access to virus libraries you had to upload an
  288. original virus and the first one that I came up with was Crypt Lab
  289. virus which was a hack. I uploaded it to a couple of virus exchange
  290. BBSs in this country and then got access to their virus libraries.
  291. >From there it is simple to start building. My library just kind of
  292. snowballed. It's a mistake to think that virus exchanges are a threat
  293. and run by geniuses.  That's just not always the case, although some
  294. are.
  295.  
  296. GA: How would you define your role presently in the virus world?
  297.  
  298. UK: Just someone who publishes them in an electronic newsletter which
  299. looks at the virus community just as it would look at the anti-virus
  300. community.  There are no other publications that just look at both
  301. sides of the coin rather squarely, provide real technical as well as
  302. general information.  It covers a broad spectrum of the computer
  303. reading audience.  Someone who is almost completely computer
  304. illiterate can at least recognize some things in the Crypt Newsletter,
  305. but not everything.  That's it.  As a functional part of that I have
  306. to continue to provide semi-interesting code samples that actually
  307. work as well as other things. I think it gets boring really, really
  308. fast, if you're just in the processor pumping out viruses. That's the
  309. hard part. The interesting part for me is actually putting in the
  310. other things: the analysis, the news, the commentary and that kind of
  311. stuff.
  312.  
  313. GA: Do you want to mention that you are running a BBS (computer
  314. bulletin board)?
  315.  
  316. UK: Yeah, sure. Call anytime. It exists for people to come and get the
  317. Crypt Newsletter if they are interested in finding it without going
  318. through the usual hassles of underground channels like the cool, elite
  319. bulletin board systems. The underground world has become very
  320. exclusive.  In a sense it is cliquey, and if you are not associated
  321. with the right people you don't get entrance. It seems to be totally
  322. opposite of what the computer underground started out as, but this is
  323. what it is now. So if you don't want to go to your local pirate BBS
  324. where they stock it, and get through their new user voting screen
  325. whereby a like-minded bunch of  buddies decide if a complete stranger
  326. that they've never heard of before should get entrance to this
  327. exclusive domain; if you don't want to put up with that fuss or have
  328. to come up with some virus before you get it; on my BBS, you just get
  329. it.  Which is how you should get it everywhere, but I can't control
  330. that, I can't care about it that much. You don't have to be cool to
  331. get it.
  332.  
  333. GA: What skills are required to write a virus?
  334.  
  335. UK: Almost none. It's a myth that you have to be a programming genius
  336. to write a virus at this point. That may have been true when the idea
  337. was novel.  It certainly hasn't been true for the last two or three
  338. years.  There's so much source code lying about that anyone with a
  339. passing knowledge of the computer and a little bit of determination, a
  340. desire to do it, can take a stab at hacking an existing virus. This is
  341. rather common when coming up with an original virus which can be
  342. cobbled together with segments of or ideas from others. Writing one
  343. from scratch is the hardest way to do it.
  344.  
  345. GA: Aren't they all written in programming languages?
  346.  
  347. UK: Assembly mostly. By far most viruses are written in assembly
  348. language.
  349.  
  350. GA: So you have to understand what assembly language is?
  351.  
  352. UK: Yes, you have to know assembly language,  be able to recognize
  353. assembly language code and have a general understanding of what
  354. assembly language instructions do. You have to be able to recognize
  355. within a sample of code what the instructions are doing, so that you
  356. can follow the virus.  In that sense you do have to immerse yourself
  357. in assembly language coding.  But it's not as hard as one would
  358. believe. There are good books, and there's plenty of virus source code
  359. around, so with books in hand and looking at virus code in a dedicated
  360. fashion, you can get the hang of what is going on rather quickly.
  361. Viruses all share a commonality, there's just not a lot of variability
  362. there in terms of what they do.
  363.  
  364. Some people write viruses in higher languages like C or Pascal.  Those
  365. are few and far between because it is difficult to make the virus
  366. agile enough in those languages for them to function efficiently on a
  367. machine. A virus has to be small and quick to do the best job. It is
  368. difficult to do that with languages like C and Pascal simply because
  369. there is a great deal of overhead involved in the languages when they
  370. are compiled. If you look at a program that is written in C to do a
  371. certain function on a computer and then you look at a program that is
  372. written in assembly, the assembly program would be much, much smaller
  373. than the program written in C. C is conversely a language that is
  374. easier for people to understand because it is closer to English.
  375. Whereas assembly language just has a bunch of, at first, what would
  376. appear cryptic instructions.
  377.  
  378. GA: But it is basically the type thing that anybody with a degree in
  379. computer science can do?
  380.  
  381. UK: Oh, I would think so, certainly. I don't even think you need a
  382. degree in computer science. I think fifteen year old kids who are
  383. really into computers can write viruses.
  384.  
  385. GA: And I bet they do.
  386.  
  387. UK: I'm sure they do.
  388.  
  389. GA: So how many viruses have you made and which ones are they?
  390.  
  391. UK: I don't know all of them. Well, there was the Encroacher. That was
  392. in one of the Newsletters. That was a Mutation virus that attacks
  393. Central Point Software's anti-virus program. There might have been
  394. three variants to that.  There was the Insufficient virus which is
  395. another Mutation Engine companion virus. You know what a companion
  396. virus is?
  397.  
  398. GA: No.
  399.  
  400. UK: Most viruses function by attaching, we are talking about file
  401. infecting viruses purely here, and most of them attach themselves to
  402. those files.  Companion viruses are spawning viruses. A spawning virus
  403. or a companion virus will look for a program on your computer that is
  404. an .EXE and it will make a duplicate of itself. Then it will rename
  405. itself as that program except the extension will be .COM. Because of
  406. the rules of DOS, when you call a certain program which might be your
  407. word processor or something like that, DOS will execute a .COM file
  408. before it will execute an .EXE file. Well, the virus just simply
  409. renamed itself, made a copy of itself, renamed as your word processor.
  410. The virus will execute first and then it will hand off to the word
  411. processor program or the infected target program, and things will
  412. function normally and the virus will, if it is a direct acting run
  413. time virus, it will go off and search for another program to infect.
  414. If it is a resident virus it will now be installed in memory and it
  415. won't have actually changed the infected file at all, so anti-virus
  416. software that checks for changes made in files won't detect a
  417. companion virus unless it is smart enough to look for identical file
  418. names. Very few anti-virus software programs do that.
  419.  
  420. GA: Certainly when you wrote that one, they probably didn't!
  421.  
  422. UK: I believe they still don't. Companion virus infections can be
  423. easily removed and the machine restored to total health, simply by
  424. looking for all the small .COM file duplicates that reside next to .EXE's
  425. and deleting them. The virus creates these files as hidden
  426. system read only files. So if you do a simple directory, uneducated
  427. people won't see them. They are going to be hidden like the system
  428. files in your root directory. You won't see them when you do a
  429. directory search. You have to change the attributes on them to see
  430. them so that they are not hidden and read only, or else you have to
  431. have some kind of file manager like X-Tree or PC Tools that
  432. automatically lets you see even the hidden files on your system. It is
  433. a minor annoyance but it does a little bit of stealthiness there.
  434. Almost all companion viruses create themselves hidden files.
  435. Eventually some people start to notice because they start losing disk
  436. space, the disk is filling up with hidden files which are the virus.
  437.  
  438. GA: Then there was the Crypt Lab virus, right?
  439.  
  440. UK: Yeah.
  441.  
  442. GA: And that was recently mentioned in Discover magazine?
  443.  
  444. UK: Yes, that was at the end of the article. I got the Virus Creation
  445. Laboratory, and I spent a lot of time going through it and creating
  446. some variants to that just to see what it could do. One of those was
  447. Diarrhea.
  448.  
  449. Anyway, if you execute the virus, there are three forms to that virus.
  450. One will infect all files until it can't find anymore files to infect.
  451. It will put on a display that says, "Eat My Diarrhea," which I think
  452. it is one of his favorite phrases. Another variant of the virus goes
  453. about doing it's business and while it is infecting other files, it
  454. drops a small program onto files. That does not infect. This destroys
  455. those programs, essentially creating what I call zombies. The zombies
  456. merely display the neon "Eat My Diarrhea - GG Allin and the Texas
  457. Nazis," in neon color. As soon as you run one of those things you know
  458. you've been the victim of a prank or something like that. So that's
  459. what the Diarrhea viruses do. They are created with the Virus Creation
  460. Laboratory.
  461.  
  462. And then there was another virus creation type tool that's been
  463. produced by the members of Phalcon/Skism virus programming group.
  464. There was the virus I made using code from the Virus Creation
  465. Laboratory and the Phalcon/Skism Mass Production Coder I think it's
  466. called. That was called the Mimic virus. And the Mimic virus came in a
  467. couple of flavors. It was a file infecting virus which created a mimic
  468. of the Jerusalem virus. The screen is characteristic of Jerusalem.
  469.  
  470. Another one I created was the Den Zuk Mimic. With the original Den
  471. Zuk, when the person does the three finger salute (hitting
  472. control-alt-delete keys at the same time) to reboot the computer, this
  473. graphic comes up on the screen and shows Den Zuk. It's kind of a nice
  474. graphic too I must admit. I like that. I put that into Den Zuk Mimic
  475. to make programs show that graphic.
  476.  
  477. GA: I thought there was some other virus.
  478.  
  479. UK: Is it recent? In a recent issue of the newsletter?
  480.  
  481. GA: No, I'm getting it from the VSUM listing. There were four viruses
  482. in the December 1992 issue that listed "Kouch."
  483.  
  484. UK: I tend to be only really familiar with the recent ones that have
  485. been published. Maybe it will come to me.
  486.  
  487. GA: What's so exciting about viruses and source codes?
  488.  
  489. UK: I like the word "interesting" more.
  490.  
  491. GA: Okay.
  492.  
  493. UK: Well, particularly interesting because of the misinformation that
  494. goes around concerning the viruses. There's a great deal of it.
  495. There's a great deal of mystery that shrouds. I don't think there's a
  496. lot of mystery associated with viruses. Viruses, in my opinion, are
  497. rather trivial programs that, once you're thoroughly cognizant of what
  498. a virus can and can't do, become more like a pest if you ever run into
  499. one. You should be able to get rid of it rather quickly in your
  500. machine. And it might interest you to know that one of the anti-virus
  501. software programs in its own virus database in that program displays
  502. the severity of damage that viruses can do. Fully 95 percent of the
  503. viruses listed in that database, are characterized as trivial. It
  504. takes three minutes to reset the machine to proper working order. And
  505. that's fairly accurate, I think, and that's not something that's
  506. common knowledge. People think it's a major catastrophe when they are
  507. hit by a virus. I do not take seriously claims of people being set
  508. back for hours. If they are completely ignorant of a virus, yes. But
  509. someone in the department or in the household knows about viruses. No,
  510. that's just an exaggeration. So viruses are interesting to me because
  511. of that. Because of the great variations in opinions that surround
  512. them.
  513.  
  514. GA: And also the myths.
  515.  
  516. UK: The myths on them and the controversies associated with a virus.
  517. When anyone speaks up about viruses.
  518.  
  519. GA: That's becoming very interesting to me.
  520.  
  521. UK: Politically incorrect terms. There's always been a great deal of
  522. controversy surrounding this. And so for this reason alone, viruses to
  523. me are interesting.  For example, on Prodigy it is okay for dozens of
  524. people to advertise adult bulletin boards, with gigs of pornographic
  525. files available for download. These are not  expunged from the Prodigy
  526. computer club as inappropriate. However, if anyone posted a note on
  527. Prodigy saying they want to find a virus, can someone help them locate
  528. a virus, that is immediately spiked. Why is that? I'm not sure. But
  529. it's interesting.
  530.  
  531. GA: I've had a lot of trouble getting in touch with the Virus-L
  532. Newsletter from the WELL.
  533.  
  534. UK: The Virus-L publication is pretty much dogma. I've seen it a lot,
  535. I've never thought very highly of it. There are bright people that
  536. contribute to it. It is not particularly useful.
  537.  
  538. GA: Well, it is a major place that people who don't know anything
  539. about viruses go to turn to when they think they've been hit.
  540.  
  541. UK: Well, they won't find out a lot from that publication. (Laughs)
  542. People only talk about viruses in general terms.
  543.  
  544. GA: I asked several people to contribute questions. The number one
  545. question people had for you was what gratification or satisfaction do
  546. you get from this?
  547.  
  548. UK: Well, I enjoy publishing the Crypt Newsletter. It's a challenge to
  549. make it interesting to a lot of different people and I enjoy the
  550. response that comes in. Some of the people that I've met through it
  551. have been rewarding. I don't meet a lot of stumps. I wouldn't continue
  552. to do it if there was absolutely no response and people didn't show
  553. some curiosity and the desire to see more of it. I want to give them
  554. more for their trouble, so that makes it an evolving thing. You want
  555. to see if you can top yourself and make it more interesting.  There is
  556. a great need for this kind of look at viruses. I don't think you can
  557. get that from Virus-L to be quite honest with you.
  558.  
  559. GA: Or from anything else.
  560.  
  561. UK: You'll get it from some other underground publications, of course.
  562. They are hard to find. Some people are turned off by the smoke and
  563. brimstone they come packaged with. My newsletter is a little bit
  564. different than trying to be so blatantly sociopathic. And I'm sure
  565. there are people who read it and think that I am a sociopath. I don't
  566. think I am, I think that's clear in the newsletter.
  567.  
  568. GA: I think most people who think you are a sociopath wouldn't read
  569. it.
  570.  
  571. UK: Probably. They would read it once and then toss it. I really like
  572. the work of Mark Ludwig. The Little Black Book of Computer Viruses, to
  573. me, was extremely interesting. It was the first book that I was able
  574. to get ahold of on computer viruses that had any good information in
  575. it and he's continued to do that kind of thing.
  576.  
  577. GA: Right, he has a new edition coming out and a newsletter which
  578. prints virus code.
  579.  
  580. UK: And, so, why is that interesting? Well, he explains why viruses
  581. are interesting for a number of reasons. Part of it because of the
  582. controversy that the concepts brings up. In a way, I think studying
  583. viruses gives you a good understanding of the computer on a really low
  584. level basis, and that's worthwhile. For some people that makes the
  585. computer much more enjoyable as they start to unlock some of its
  586. secrets or understand what is actually going on inside it a little
  587. better. Viruses are kind of an indirect way of getting at that
  588. information. Maybe you're bored in your computer class  listening to
  589. the dogma of understanding the operating system of the PC, but maybe
  590. you are interested in computer viruses because you like the concept
  591. associated with practical jokes and want to start to look at computer
  592. viruses a little more.  You become more curious, it becomes more
  593. involved and now you are starting to get a better grasp of what
  594. someone is trying to teach you in the computer course at the same
  595. time. It is an indirect method, it's not an obvious way, but I think
  596. that it does happen.
  597.  
  598. GA: Nowhere Man.
  599.  
  600. UK: Nowhere Man. He's an interesting individual. He spends a lot of
  601. time programming different things.
  602.  
  603. GA: So basically there is a social aspect to this too.
  604.  
  605. UK: Yeah, yeah. Talking to different people around the country,
  606. through the computer and meeting different people, getting their
  607. ideas. They're interesting people.
  608.  
  609. GA: How much of your time does this take up in an average week?
  610.  
  611. UK: It depends. I tend to do a lot of it late at night. I think it's
  612. hard to say. Right now I'm spending more time on the BBS than I have
  613. on the Crypt Newsletter.
  614.  
  615. GA: And regardless of what the BBS was about there's just maintenance
  616. that takes time every week.
  617.  
  618. UK: Yeah. I'm uncomfortable with quantifying things, so, as much time
  619. as it takes to do it right.
  620.  
  621. GA: About how many groups are there in the virus world? Active and
  622. inactive.
  623.  
  624. UK: There's Phalcon/SKISM, NuKe, there's YAM. There was Rabid. They
  625. supposedly disbanded, but I got a virus the other day that said Rabid
  626. lives again, so maybe they do. The virus doesn't work. (Laughs) You
  627. know what I mean. It's hard for me to tell.  There was a British group
  628. called ARCV. The Association of Really Cruel Viruses, that's what it's
  629. called. And they pumped out a bunch of viruses over the summer and the
  630. fall. Their leader was busted by the authorities in England for a
  631. phone fraud related kind of thing. So I have no idea of what the
  632. status of that is. They certainly made quite a few viruses.  They have
  633. one resident virus that they subsequently modified quite a bit and
  634. they have a model of a direct action virus which they've also
  635. modified.
  636.  
  637. GA: So about a half a dozen groups more or less?
  638.  
  639. UK: Yeah, but I'm sure there are smaller groups that I haven't
  640. mentioned here.
  641.  
  642. GA: And individuals?
  643.  
  644. UK: And individuals. I think that the lone virus programmers are
  645. actually more common than the groups because the groups are never as
  646. monolithic or as united in anything as they're portrayed. They are
  647. just a couple of individuals who have a loose association with each
  648. other. Like NuKe. One of the members of NuKe, Rock Steady, is French
  649. Canadian. Nowhere Man is from the Midwest. They may talk a lot but
  650. obviously they are separated by geographic locations. So how tight can
  651. that organization be? And then NuKe has a division in Australia and
  652. some people there who run the BBSs and do virus programming in
  653. Australia.  There's a Scandinavian group, I forgot about them, called
  654. Demoralized Youth who apparently created the Hitler virus which I
  655. included in the Crypt Newsletter.  And they produced things like the
  656. PC Byte Bandit which you see on a lot of bulletin boards.
  657.  
  658. GA: Do such groups exist for other computer types like Mac, and Atari?
  659.  
  660. UK: Well, that's a good question. I know there are a lot of Commodore
  661. viruses but I don't know if they are groups or the infrastructure is
  662. quite the same. As for Mac, I would think probably not because you
  663. know there aren't many Macintosh viruses.
  664.  
  665. GA: Are any of those differences between the computer types worth
  666. noting? Like is there a reason why there are fewer Mac viruses, does
  667. it have something to do with their operating system?
  668.  
  669. UK: Yeah, the operating system on a Macintosh is less open, for the
  670. simplest explanation, than the IBM PC, therefore fewer people are
  671. writing programs that will operate as viruses will on it. It's a more
  672. cryptic system shall we say.
  673.  
  674. GA: Do some of these groups that you are aware of try to make money or
  675. is all this being done for free?
  676.  
  677. UK: Well, Aristotle is the sysop of the Black Axis Virus Exchange.
  678. He's the fellow who informally put together, who is formally the head
  679. of what is known as the Vx, like in Rx. It's a loose network of virus
  680. exchanges around this country, about twenty, maybe a little less than
  681. that now. He has a really large collection of viruses, something like
  682. over 2,500. 600 samples of source codes, there's lots of duplications
  683. in there, so he's packaged it up rather neatly and gotten the word out
  684. in almost formal advertisements that he will sell his collection for a
  685. lump sum. I forget what it is. Somewhere between $100-250 dollars. He
  686. tells me he's gotten 40 takers. So there you have someone who is
  687. trying to sell the viruses for  money. I've seen advertisements to
  688. this effect on other virus exchange bulletin board systems. Others
  689. would like to sell their virus collections, depending on what the
  690. market will bear, I guess.
  691.  
  692. GA: How big would you estimate that the virus community is? Can you
  693. estimate the total number of virus exchange boards or the total number
  694. of users?
  695.  
  696. UK: I can't identify the number of users. I can make a rough estimate
  697. of the virus exchange boards. At least 20.
  698.  
  699. GA: In the whole world?
  700.  
  701. UK: No, in this country. What do you mean by virus exchange? We've got
  702. to set some rules here. Let's count all the ones that specialize in
  703. this, that have collections of over 1,000 viruses. I'd say at least 20
  704. BBSs.
  705.  
  706.                          ....................
  707.  
  708. GA: My interest in this comes from the Michelangelo scare, which of
  709. course we are taking in retrospect with a grain of salt, but they
  710. reported that the people in other countries such as India or wherever,
  711. had so little access to U.S. anti-virus programming. In some of those
  712. countries they don't sell anything legally to remove viruses. So if
  713. they were hit by something, they don't even know where to go to get
  714. something that will clear it up.
  715.  
  716. UK: You don't need anti-virus software to get rid of something like
  717. Michelangelo or Stoned. You can do it with undocumented commands. If
  718. you've talked to someone who does know something about viruses, and
  719. you didn't have anti-virus software, you could use that and dispatch
  720. something like Michelangelo and Stoned rather quickly.
  721.  
  722. GA: So you think the reports about problems in other countries are
  723. over exaggerated?
  724.  
  725. UK: Well, there's an article which analyzes the media coverage of
  726.  
  727.                          ....................
  728.  
  729. Michelangelo and I think that really puts it into perspective. It
  730. really shows the people that tried to actually come up with hard data
  731. after March 6. They just weren't able to come up with anything that I
  732. consider serious data. I remember them coming up with things like
  733. South Africa was reportedly hard hit. Says who? You know what I mean.
  734. You know how journalists work. They get on the telephone for like five
  735. minutes with someone in South Africa and the guy says we've been hit
  736. by a thousand. How does he know? And there was one that was even
  737. funnier. I think it was some military computer in Uruguay or Paraguay.
  738.  
  739. The virus does exist but I just don't think that it was common. I got
  740. one call from some kid and he's concerned he might have that virus
  741. because he's had floppy disks that are dying right and left on him.
  742. Well, I said, "Do you have any anti-virus software?" I'm trying to
  743. help him over the phone. He says "No." I said, "Do you use bulletin
  744. board systems?" He says "Yes." "Alright, what you want to do is call
  745. up one of these and get some anti-virus program and download it and
  746. copy it immediately to a right-protected floppy disk. Without doing
  747. anything else and once you've got it on there, execute it until it is
  748. all laid out on a diskette for you and then write protect that and
  749. then put it in your floppy drive and scan your hard drive." So that's
  750. what he did and he found out he had the Disk Killer virus, completely
  751. a bird of a different feather.  Actually, it is more annoying. It is a
  752. boot sector infector like Michelangelo but once you discover it, you
  753. usually don't have much time left before it activates. It has a very
  754. short activation period after it has been first placed on a disk and
  755. then it encrypts the information on a disk which essentially makes it
  756. useless to you. So he removed it, but it wasn't Michelangelo, he had a
  757. different virus.  So where were all the Michelangelo infections? Were
  758. there any? I think it was vastly overstated.
  759.  
  760.                          ....................
  761.  
  762. GA: You mentioned before that people who work for software
  763. corporations write viruses.
  764.  
  765. UK: And they program viruses or collect. There just doesn't seem to be
  766. any motivation to them other than that they are what I call stamp
  767. collectors. They just like to have a large collection of viruses, like
  768. people have large collections of baseball cards. That's a big thing,
  769. baseball card collecting.  Why do people want a huge collection of
  770. baseball cards? I don't know. But I have a large collection of
  771. viruses.  So, there's that collecting thing and that's not the same
  772. motivation as other people who write viruses. And then there's a
  773. mischief maker, a hell raiser, an angry young man kind of guy. He
  774. wants to put his mark on the world and have revenge on his school or
  775. something like that and maybe he's going to write a virus. I just
  776. don't think that there's any common denominator. Trying to write it
  777. off to one segment of the population is idiotic. Quite frankly, you
  778. can talk about different segments of virus programmers. To judge them
  779. all based upon one set of rules, disgruntled and angry at the world,
  780. is just absurd.
  781.  
  782. GA: The media does portray that whole image at the Bulgarian virus
  783. factories.
  784.  
  785. UK: Another sexy story.
  786.  
  787. GA: Why Bulgaria? You are basically saying  it's lots of other places
  788. too and that's just a myth?
  789.  
  790. UK: Well, there are a lot of viruses that came out of Bulgaria. You
  791. can't discount that fact. There were Bulgarian virus programmers and
  792. there is The Dark Avenger and you don't want to minimize that, but
  793. that's not the whole spectrum of it. Maybe they are more serious and
  794. dedicated or they were for a time. But, no, Germany has virus writers,
  795. Poland has virus writers.
  796.  
  797. GA: Right, Canada.
  798.  
  799. UK: There are callers to my BBS from Lisbon, South Africa, Canada. I
  800. would assume anywhere there are computers, there are virus
  801. programmers.
  802.  
  803. GA: And any place there are disks, there are collectors.
  804.  
  805. UK: That's right. I mean Scandinavia, India, Thailand have virus
  806. programmers. I would be hard pressed to think of a place that doesn't.
  807.  
  808.                          ....................
  809.  
  810. GA: We kind of touched on this before, but how can people best protect
  811. themselves from viruses?
  812.  
  813. UK: I would say that since virus code and viruses are going to be with
  814. us just as long as computers are going to be with us and if you are
  815. really concerned about it, then you should try to find out some of the
  816. basics of virus behavior so you can rule out a lot of things that
  817. aren't going to affect you. You've got to know that a virus is
  818. dependent upon an executable program to spread on your machine. You
  819. must execute it first. Knowing that, any executable program that comes
  820. into your machine then becomes, if we are not talking about boot
  821. sector infectors here, a possible virus candidate and I would just say
  822. that you should get a perfunctory anti-virus scanner. Find the
  823. cheapest one you can. A lot of companies are now letting the scanner
  824. portion of their software go for free.  Don't get a lousy scanner. You
  825. are going to have to do some reading. I can't make it easy for you.
  826. I'm not going to make product recommendations, obviously, but you can
  827. get some for extremely cheap if not free.
  828.  
  829. GA: So you recommend that people have something?
  830.  
  831. UK: Yeah, at this point. If you want the least amount of work
  832. involved, get a cheap scanner or an almost free scanner if you can,
  833. and by doing a little reading you will find out what the best product
  834. is. You are just going to have to go a little deeper than the glossy
  835. magazines. Be a good consumer, okay. The chances that you are going to
  836. come across a very clever and totally new virus which is going to
  837. become resident upon your machine and stay invisible for a long period
  838. of time, are exceedingly rare, and I just don't think that you should
  839. concern yourself with that. I have just never been victimized by
  840. anything. I'm more educated so I don't worry about it. I take some
  841. precaution but nothing like some. So get yourself a cheap scanner if
  842. you feel you must have something, and as you go along in your
  843. computing, try to get a good idea of what viruses do. Ignore the hype
  844. associated with them. Most viruses are not 100% transparent. They will
  845. misbehave in a manner that is repeatable. So if you have something on
  846. your machine that's going wrong and it seems to be random, it's
  847. probably not a virus because viruses are made out of discreet
  848. instructions, and they are going to do the same thing. The problem
  849. will repeat itself. So either you have buggy software that is
  850. repeating the same bug or you could have a virus.
  851.  
  852. If you are going in harm's way, where you might have to worry about
  853. possibly getting a virus infection; like if you are an obsessive,
  854. compulsive downloader, if you use places or services that have a lot
  855. of public flow of disks in and out, if you buy a lot of retail
  856. software from someone that you suspect is rewrapping software that has
  857. been used in someone else's home already, there's a possibility that
  858. you could occasionally become infected, but still it's just not real
  859. common. For boot sector infectors, try to keep those diskettes from
  860. staying in the slot on the A drive at night after you turn your
  861. computer off.  If you did that and then your computer starts behaving
  862. weirdly, then you might worry.
  863.  
  864.                          ....................
  865.  
  866. GA: You also mentioned the virus that attacks Central Point's
  867. software. If you don't have Central Point that virus isn't going to do
  868. anything.
  869.  
  870. UK: Yeah, right, so what? And then you program to attack something
  871. that presupposes a level of technical understanding which may not be
  872. in your average disgruntled employee. You've got to have someone who
  873. has an ax to grind for a long time to think of a really finely crafted
  874. virus to destroy something. There are one or two viruses like the Dark
  875. Avenger which are extremely destructive on business systems.
  876.  
  877. GA: What's the scoop with the Proto-T virus?
  878.  
  879. UK: Oh, that's just a joke. This happens periodically on the networks,
  880. and I first noticed it on the Fidonet. Some prankster or a group of
  881. pranksters uploaded this completely bogus story about an unknown virus
  882. hidden in the archives of one of the numerous PKZip hacks and it was
  883. like science fiction, it described things which were impossible for
  884. viruses.
  885.  
  886. GA: Destroying the video card was one.
  887.  
  888. UK: That's an old one, or writing itself to video memory is completely
  889. nonsensical because the virus would crash almost immediately. Just
  890. from what I know of how people react on the networks, I knew that
  891. there would be hundreds of people beginning to think that there was
  892. some credence to it. This spread all around the world.
  893.  
  894. GA: Well, with Michelangelo, the news traveled. In 24 hours everybody
  895. knew about Proto-T.
  896.  
  897. UK: I was just about ready to publish an issue of the Crypt Newsletter
  898. so I had a generic resident virus that I was including in it. I
  899. thought I would just customize it and have Proto-T as the name. I
  900. figured that people would not read the documentation. The real story
  901. is that this was just a name. These Proto-T pranksters came up,
  902. whoever they are, with this stupid Proto-T story; we might as well
  903. give them something to go along with it. It spread, it really spread.
  904. I saw people on Prodigy, some of the hackers that show up on there,
  905. saying that they swore they had copies of source code of Proto-T from
  906. some virus programming newsletter, which means to me that they
  907. stripped the code right out of the Newsletter almost immediately, and
  908. didn't even bother to read the note that came with it. It didn't even
  909. come close to imitating fictitious achievements of the real Proto-T
  910. which were flatly impossible anyway. And it just spread all around.
  911.  
  912.                          ....................
  913.  
  914. GA: What about YAM (Youngsters Against McAfee), the name is used
  915. against McAfee so it kind of implies...
  916.  
  917. UK: You ought to look at their stuff! They spelled McAfee wrong a
  918. couple of times. I don't know, I just don't know. What can I tell you.
  919. I wouldn't have chosen that name but I can understand perhaps why they
  920. might have. For a long time, the thing was to elude Scan. I noticed
  921. this early on. It was an achievement to create a virus that Scan
  922. couldn't catch. Actually it is not much of an achievement.
  923.  
  924. GA: No, it only lasts a month or two at most until they get a copy.
  925.  
  926. UK: What's the point? Why is McAfee a whipping boy? He just happens to
  927. be better at public relations than the rest of the anti-virus people.
  928.  
  929. GA: That's one reason, and the other reason is that because his is
  930. shareware and so many more people have it then the other ones.
  931.  
  932. UK: Well, it's not just shareware. There are quite a few of his
  933. products that are cross-licensed as retail software. He's got a really
  934. big stake in anti-virus software. He's also the best at dealing with
  935. the reporters like during the Michelangelo scare.
  936.  
  937. GA: Early viruses used to attack institutions with power, now they
  938. seem to mostly affect individuals. Do you think that's true and, if
  939. so, why the change?
  940.  
  941. UK: What institutions with power?
  942.  
  943. GA: Colleges and corporations.
  944.  
  945. UK: No, I think colleges are still pretty vulnerable, don't you? They
  946. are always going to have computer labs, where people can bring stuff
  947. in indiscriminately.  That really hasn't changed and maybe it has
  948. moved a little more to the individuals because computers have moved
  949. more into the homes of individuals.
  950.  
  951. GA: That's true.
  952.  
  953. UK: So, before high end PCs were the domain of a small or a medium
  954. size business with one or two individuals who knew how to use them as
  955. the selected employees.  Now the computer has become more of a
  956. household appliance,  still not totally widespread, of course, but
  957. moving more and more into the household where people can use it as a
  958. glorified typewriter.
  959.  
  960. GA: Anything that you would recommend to people who would want to read
  961. more, learn more?
  962.  
  963. UK: I'll give them my sole plug for Mark Ludwig's book on computer
  964. viruses. It is not an evening's read. You get a lot out of that
  965. especially if you come back to it. It impresses upon you the idea of
  966. learning something about assembly language programming, which after
  967. you look at it a couple of times starts to make some sense to you
  968. whether you become an assembly language programmer or not. Probably
  969. not. Springer-Verlag has an academic text on computer viruses but it
  970. costs about $40, probably not something the average person is seeking
  971. to get a hold of.
  972.  
  973.  
  974. ------------------------------
  975.  
  976. End of Computer Underground Digest #5.44
  977. ************************************
  978.