home *** CD-ROM | disk | FTP | other *** search
/ Internet E-Mail Workshop / Internet E-Mail Workshop.iso / tutorial / pc_learn / virus.tut < prev    next >
Encoding:
Text File  |  1993-08-16  |  24.8 KB  |  458 lines
  1.  
  2.        ---------------------------------------------------------------- 
  3.  
  4.                       VIRUS WARFARE: THE NOVEMBER MESSAGE 
  5.  
  6.        ---------------------------------------------------------------- 
  7.  
  8.        Interesting stories sometimes begin with a touch of horror. 
  9.        Technological terror is so much more invigorating when the plot 
  10.        is true and the author real . . . 
  11.  
  12.        Imagine you are a computer operator at a local college on a 
  13.        crisp November afternoon. It is Monday and you have finished 
  14.        running a routine payroll data processing job which will print 
  15.        employee paychecks on Friday. You decide to check messages on 
  16.        the University computer network which links colleges and 
  17.        Universities throughout America. At 4:15 PM the following 
  18.        message flashes onto your screen. This message is NOT fictional. 
  19.        The dates and people are REAL: 
  20.  
  21.        Monday, 30 November 1987   BITNET computer network - URGENT 
  22.  
  23.        FROM: Kenneth R. Van Wyk, User Services Senior Consultant, 
  24.        Lehigh University Computing Center   (215)-758-4988 
  25.        <LUKEN@LEHIIBM1.BITNET>  <LUKEN@VAX1.CC.LEHIGH.EDU> 
  26.        {RISKS-FORUM Digest    Volume 5 : Issue 67} 
  27.  
  28.        Last week, some of our student consultants discovered a virus 
  29.        program that's been spreading rapidly throughout Lehigh 
  30.        University. I thought I'd take a few minutes and warn as many 
  31.        of you as possible about this program since it has the chance of 
  32.        spreading much farther than just our University.  We have no 
  33.        idea where the virus started, but some users have told me that 
  34.        other universities have recently had similar problems. 
  35.  
  36.        The virus: the virus itself is contained in the stack space of 
  37.        COMMAND.COM. When a PC is booted from an infected disk, all a 
  38.        user need do to spread the virus is to access another disk via 
  39.        TYPE, COPY, DIR, etc.  If the other disk contains COMMAND.COM, 
  40.        the virus code is copied to the other disk.  Then, a counter is 
  41.        incremented on the parent.  When this counter reaches a value of 
  42.        4, any and every disk in the PC is erased thoroughly. The boot 
  43.        tracks are nulled, as are the FAT tables, etc.  All Norton's 
  44.        horses couldn't put it back together again...  :-)  This affects 
  45.        both floppy and hard disks.  Meanwhile, the four children that 
  46.        were created go on to tell four friends, and then they tell four 
  47.        friends, and so on, and so on. 
  48.  
  49.        Detection: while this virus appears to be very well written, the 
  50.        author did leave behind a couple of footprints.  First, the 
  51.        write date of the COMMAND.COM changes.  Second, if there's a 
  52.        write protect tab on an uninfected disk, you will get a WRITE 
  53.        PROTECT ERROR...  So, boot up from a suspected virus'd disk and 
  54.        access a write protected disk - if an error comes up, then 
  55.        you're sure.  Note that the length of command.com does not get 
  56.        altered. 
  57.  
  58.        I urge anyone who comes in contact with publicly accessible 
  59.        disks to periodically check their own disks.  Also, exercise 
  60.        safe computing -always wear a write protect tab.  :-) 
  61.  
  62.        This is not a joke.  A large percentage of our public site disks 
  63.        have been gonged by this virus in the last couple of days. 
  64.  
  65.        END OF MESSAGE ... 
  66.  
  67.        ---------------------------------------------------------------- 
  68.  
  69.                       COMPUTER VIRUSES: ELEGANT SOFTWARE
  70.                              WITH A SAVAGE PURPOSE 
  71.         
  72.        ---------------------------------------------------------------- 
  73.  
  74.        If you followed the previous message closely you are beginning 
  75.        to sense what a computer virus is and can do. A definition might 
  76.        roughly describe a VIRUS as a SELF-REPLICATING computer program 
  77.        which copies itself and attaches to one of the following areas 
  78.        of a computer: the hard disk partition table, the DOS boot 
  79.        sector of a hard disk or floppy or one or more executable files 
  80.        within the system. It may also make itself resident in RAM 
  81.        memory during computer operation. 
  82.  
  83.        Infected executable files may be operating system programs, 
  84.        system device drivers, .COM files, .EXE files, overlay files or 
  85.        any other file which can be loaded into memory and executed.  
  86.        The virus activates itself at some predetermined (or randomly 
  87.        determined) time and attempts to destroy, remove or otherwise 
  88.        scramble data and programs. Some virus type even attempt to 
  89.        damage computer hardware.
  90.  
  91.        A trademark of a virus is that it is SELF-REPLICATING and thus 
  92.        clones multiple copies of itself. A virus is a computer program 
  93.        - designed by someone - to spread identical copies of itself 
  94.        among many computers and destroy data or programs in a specific 
  95.        targeted manner. 
  96.  
  97.        In many ways a computer virus is quite similar to a biological 
  98.        virus. It attacks one computer then proliferates among many 
  99.        computers as infected floppy disks and the programs contained 
  100.        within are shared among many computer users. The virus may lie 
  101.        dormant for many months, or even years, all the while 
  102.        replicating its program code to many more programs and floppy 
  103.        disks. When an infected program is run it will in turn infect 
  104.        other programs and disks in that same computer. Sometimes, but 
  105.        not always, viruses interfere with printing or other routine DOS 
  106.        operations. Many times the programmer who designed the virus 
  107.        allows unintentional errors to exist within the virus program 
  108.        code which can cause unexplained system crashes and other odd 
  109.        behavior BEFORE the virus is triggered to erase or destroy data. 
  110.        It seems even viruses are not perfect programs and can be 
  111.        subject to programming bugs and errors just like standard 
  112.        programs! 
  113.  
  114.        What does a virus program look like to a human operator? Simply 
  115.        a string of highly encoded computer data bytes which by 
  116.        themselves mean nothing to the casual observer. If you were to 
  117.        glimpse deep inside the computer program code which makes up a 
  118.        virus you might see something on your screen like the following 
  119.        "machine code" listing: 
  120.  
  121.           xxxx:0110  02 00 02 3B A2 F8 29 00-11 00 04 00 11 00 80 00   
  122.           xxxx:0120  00 00 00 00 0F 00 00 00-00 01 00 FA 33 C0 8E D0   
  123.           xxxx:0130  BC 00 7C 16 07 BB 78 00-36 C5 37 1E 56 16 53 BF   
  124.           xxxx:0160  13 72 67 A0 10 7C 98 F7-26 16 7C 03 06 1C 7C 03   
  125.           xxxx:0190  A1 34 7C E8 96 00 B8 01-02 E8 AA 00 72 19 8B FB   
  126.           xxxx:01B0  B9 0B 00 F3 A6 74 18 BE-5F 7D E8 61 00 32 E4 CD   
  127.           xxxx:01C0  16 5E 1F 8F 04 8F 44 02-CD 19 BE A8 7D EB EB A1   
  128.           xxxx:01D0  1C 05 33 D2 F7 36 0B 7C-FE C0 A2 31 7C A1 2C 7C   
  129.           xxxx:0200  0C 01 06 2C 7C F7 26 0B-7C 03 D8 EB D9 8A 2E 15   
  130.           xxxx:0210  7C 8A 16 1E 7C 8B 1E 32-7C EA 00 00 70 00 AC 0A   
  131.           xxxx:0230  18 7C FE C2 88 16 30 7C-33 D2 F7 36 1A 7C 88 16   
  132.           xxxx:0240  1F 7C A3 2E 7C C3 B4 02-8B 16 2E 7C B1 06 D2 E6   
  133.           xxxx:0250  0A 36 30 7C 8B CA 86 E9-8B 16 1E 7C CD 13 C3 0D   
  134.  
  135.        Computer virus programs can be designed in assembly machine 
  136.        code, Basic, Pascal, C and even the DOS batch file language.
  137.  
  138.        What triggers a virus to destroy data once it is embedded within 
  139.        your computer? Depending on the person who designed the virus 
  140.        programming code, the virus can trigger and destroy data based 
  141.        on: 
  142.  
  143.        A date, perhaps Friday the 13th to add a cruel twist of fate. 
  144.        The number of repetitions a certain program is run. An occurrence 
  145.        such as printing the payroll or running Lotus 123. A lack of an 
  146.        occurrence (removal of a name from a list.) A time of day, 
  147.        perhaps 1 AM when an office network is running unattended. A 
  148.        capacity, say when your hard drive reaches 90% capacity, nearly 
  149.        full. A random time of day or random date, or both. The presence 
  150.        of another program or removal of a program. Use of a modem or 
  151.        your printer. A particular person's name or password. 
  152.        
  153.        Essentially, the programmer of the virus code selects a 
  154.        "trigger" of some type and deliberately programs the virus to 
  155.        wake up and "bite" when a certain condition is met! 
  156.  
  157.        One of the original viruses designed to infect the IBM PC came 
  158.        from Pakistan where the programmers of the "Brain" virus wanted 
  159.        to punish American software users who copied or "pirated" 
  160.        commercial software. They did this by infecting illegal copies 
  161.        of commercial software which they sold in their retail store in 
  162.        Pakistan. 
  163.        
  164.        In 1989 a large number of viruses were reported as originating in 
  165.        Israel. Some authorities speculate that PLO members might have 
  166.        written virus programs for political purposes to "punish" those 
  167.        living in Israel or America. Others speculate that those living 
  168.        in Israel might have designed the virus programs to penetrate 
  169.        complex computer networks in Arab countries or America to gain 
  170.        access to sensitive government data. Rumors continue to surface 
  171.        that perhaps the Russian KGB tried to develop a "super virus" 
  172.        that could penetrate NATO computer systems. 
  173.  
  174.        In 1987, a European public BBS modem system was found to contain 
  175.        a highly specialized program "toolkit" designed by a young 
  176.        programmer. The purpose of this software toolkit was to assist 
  177.        in designing yet better and more clever virus programs! 
  178.        
  179.        Private American BBS systems have been reported to exist wherein 
  180.        virus programmers trade virus program code examples and ideas on 
  181.        how to create "more savage" virus programs! These BBS systems 
  182.        have confidential telephone numbers and passwords so that only 
  183.        virus programmers can access these "virus libraries of 
  184.        information." 
  185.  
  186.        What is the lure of programming a virus? The few programmers of 
  187.        virus software who have been caught usually explain their act as 
  188.        an intellectual challenge - an attempt to see how far 
  189.        programming code can be extended. In some respects this may be 
  190.        true. Virus programs are frequently crafted with obscure and 
  191.        highly elegant machine code and must be self replicating, self-
  192.        modifying and "wired" with elaborate logic and algorithmic 
  193.        triggers. A virus must be small, fast and very stealthy. A virus 
  194.        in many respects is programming at the cutting edge of the 
  195.        craft, and perhaps this is the lure.
  196.  
  197.        ---------------------------------------------------------------- 
  198.  
  199.                                NOW THE BAD NEWS: 
  200.                 VIRUSES AREN'T THE ONLY TOUGH KID ON THE BLOCK! 
  201.  
  202.        ---------------------------------------------------------------- 
  203.  
  204.        Perhaps we should back up and also define several other "rogue 
  205.        program" types which pose a security risk to your computer data. 
  206.  
  207.        A TROJAN HORSE program appears as something useful - perhaps a 
  208.        program to sort names or print a list of telephone numbers on 
  209.        the computer. Yet it actually does something destructive either 
  210.        immediately or at a later time. As an example, several trojan 
  211.        horse programs offer to display X-rated images or colorful games 
  212.        which distract your attention to the screen long enough for the 
  213.        program to cheerfully erase your bookkeeping data. A trojan 
  214.        horse might (but does not usually) replicate its code to several 
  215.        other disks. This replication feature is more distinctive of a 
  216.        true virus. 
  217.  
  218.        A LOGIC BOMB is much like a trojan horse and may lie hidden 
  219.        within a useful program. However when a certain point of logic 
  220.        or data is presented to the program (e.g., the programmer's name 
  221.        is removed from the company payroll records presumably because 
  222.        the programmer has been fired) then the logic bomb is activated 
  223.        to "extract revenge" by scrambling payroll records or perhaps 
  224.        removing all occurrences of the numbers 4, 7 and 9 from any data 
  225.        throughout company records. Insidious . . . 
  226.  
  227.        A WORM is somewhat similar to a virus. It can replicate and 
  228.        spread throughout a computer system. When the worm program is 
  229.        run is creates copies of itself and runs those copies. It can 
  230.        wreak havoc on interconnected computer systems such as are found 
  231.        within university networks or government computers. A well-known 
  232.        worm infection occurred in the Fall off 1988 when a worm program 
  233.        was installed on a large internet network and quickly spread 
  234.        through hundreds of government and university UNIX type 
  235.        computers. All of the infected computers quickly bogged down as 
  236.        the worm created and then ran many copies of itself thus 
  237.        demanding more and more memory and computing time from 
  238.        legitimate programs and more necessary work tasks. 
  239.  
  240.        A word before we continue. Virus programs are not THAT common. 
  241.        They are real, but have been vastly over-reported in the popular 
  242.        press. They seem to be more common within university communities 
  243.        where youthful students might be tempted to "test" their 
  244.        programming skills by creating virus programs. Commercial 
  245.        software has OCCASIONALLY been infected, but for practical 
  246.        purposes, commercial programs purchased from retail sources and 
  247.        packed in original factory boxes are low probability sources of 
  248.        viruses. 
  249.  
  250.        Public domain and shareware sources of software as well as 
  251.        BBS/modem sources are sometimes suspected of virus infection, 
  252.        but most reputable shareware distributors and BBS systems report 
  253.        low computer virus incidence. 
  254.        
  255.        Indeed, the shareware and public domain software community is 
  256.        more rigorous in routine testing for virus infections than the 
  257.        commercial software development houses. Computer virus programs 
  258.        DO exist, but they are quickly caught and erradicated from most 
  259.        BBS systems and shareware sources. Your chance of computer virus 
  260.        infection is probably on the order of 2% probability, but 
  261.        knowledge and foresight are a wise investment in computer and 
  262.        data security! 
  263.        
  264.        Published lists of virus programs detail unique virus names and 
  265.        characteristics. One of the better virus lists is the shareware 
  266.        software program DIRTY DOZEN which is available from most 
  267.        computer clubs and many BBS systems. Some examples of virus 
  268.        programs which have been identified include: 
  269.  
  270.                                    ICELANDIC        
  271.                                    PENTAGON         
  272.                                  DARK AVENGER     
  273.                                     SYSLOCK          
  274.                                DISK KILLER/OGRE 
  275.                                    ZERO BUG         
  276.                                     VACSINA          
  277.                                    DATACRIME        
  278.                                    TRACEBACK        
  279.  
  280.        What can you do to protect your computer data?
  281.        
  282.        Make frequent backups of data you consider essential. To "backup"
  283.        means to routinely copy important files from your hard drive to 
  284.        floppies or other portable magnetic media. Weekly file backup is 
  285.        a minimum. Daily is not unreasonable. Consider rotating between 
  286.        two or three sets of backups (use backup floppy set #1, then set 
  287.        #2 then set #3 - then back to set #1 and so on). 
  288.        
  289.        Limit the exchange of data disks within your workplace unless 
  290.        necessary - especially if those disks contain EXE or COM files. 
  291.        Always write protect all floppies unless they are data disks 
  292.        which must be updated routinely. 
  293.  
  294.        If you find a file on a public BBS system interesting, leave it 
  295.        there for a month and wait to see if other users report problems 
  296.        with the program. This pessimistic outlook may save considerable 
  297.        hard disk data. Other common sense suggestions for preventing 
  298.        virus outbreaks include the following: 
  299.  
  300.        Avoid sharing commercial software and making copies for others. 
  301.        It is a violation of the author's copyright to copy commercial 
  302.        software, in any event. Always obtain public domain and 
  303.        shareware software from reliable sources such as large BBS 
  304.        systems - Compuserve and PC MagNet are relatively reliable as 
  305.        are large shareware distributors such as PC SIG and Public Brand 
  306.        Software who obtain their copies directly from the author via US 
  307.        mail. 
  308.  
  309.        If possible, use one of the many virus checking programs on the 
  310.        market to test public domain and shareware software prior to 
  311.        installation on your system. Test ALL of your system's files - 
  312.        perhaps at the same time as you perform routine backups - as a 
  313.        monthly or weekly routine. The first time you start a suspected 
  314.        public domain/shareware program run it from a floppy disk and 
  315.        not your hard drive. 
  316.        
  317.        Always write protect your floppies if possible. 
  318.  
  319.        Use one of the available "vaccination programs" which continuously 
  320.        monitor your system for unauthorized or otherwise unexpected data 
  321.        transfers. These programs monitor your hard disk and memory for 
  322.        activity not usually normal under DOS operations. If you do 
  323.        detect a virus program, consider that both your hard disk and 
  324.        your backup copies are probably infected. Keep original 
  325.        application disks from the manufacturer safely tucked away and 
  326.        protected by write protect tabs so they cannot be infected.
  327.               
  328.        Never start a hard disk-equipped computer from a floppy disk 
  329.        except the ORIGINAL DOS disk which is WRITE PROTECTED with a tab 
  330.        in place. No exceptions! 
  331.  
  332.        Curiously, 90% of those infected with a virus or trojan horse 
  333.        program are reinfected within a month! This attests to 
  334.        widespread sharing of data disks and poor data work habits. 
  335.        
  336.        Don't always assume a computer problem is virus related. Most of 
  337.        the time it is related to improper equipment use. Carefully 
  338.        scrutinize file directories on your disk(s) for date or file 
  339.        size changes. Viruses are fond of adding their code to the files 
  340.        COMMAND.COM, IBMBIO.COM, or IBMSYS.COM. Perhaps jot down or 
  341.        print out known file sizes and dates of creation and check for 
  342.        any changes which may appear since you first installed that file 
  343.        on your disk. 
  344.  
  345.        Both commercial and shareware/public domain software programs 
  346.        exist whose purpose is to detect and repair damage caused by 
  347.        virus software:
  348.  
  349.     Software Program          Purpose and method of action
  350.      ------------------------------------------------------------------
  351.  
  352.     Viruscan &           From McAfee Associates  telephone (408) 988-3832.
  353.     Clean                Available from most BBS's, computer clubs, this
  354.                          is an exceptional program, updated frequently.
  355.                          Scans drives and RAM memory for virus presence.
  356.                          The program is proactive: is searches for exact
  357.                          virus "flags" rather than waiting for a virus to
  358.                          hit. Program is self-testing to make sure that
  359.                          it has not itself been infected! The scan 
  360.                          program searches for the virus, the clean 
  361.                          program attempts to remove it.
  362.        
  363.      F-Prot              From Fridrik Skulason, Reykjavik, Iceland. 
  364.                          Available from most BBS systems and shareware 
  365.                          vendors. Reliable and inexpensive virus utility. 
  366.                          Has scored higher on some tests than McAfee's 
  367.                          Virus Scan program.
  368.  
  369.      VIRX                Runs faster than Viruscan and detects and 
  370.                          deletes many of the same viruses. From 
  371.                          Microcom, Inc. POB 51816, Durham, NC 27717.
  372.  
  373.      Dirty Dozen         Detailed list of virus and trojan horse programs
  374.                          which is available from most computer clubs or
  375.                          shareware distributors. Interesting reading.
  376.                   
  377.     Dr. Solomon's        A commercial virus detection and removal 
  378.     Toolkit              utility. Performs well. (800) 872-2599
  379.  
  380.     AntiVirus            From Central Point Software. Another highly
  381.                          regarded commercial virus detection and removal 
  382.                          utility. (800) 445-2110
  383.  
  384.     PC Magazine          Checks and verifies your files and allows
  385.     PCDATA               continuous testing prior to virus infection.
  386.                          Free from computer clubs, shareware outlets, 
  387.                          BBS's. See February 13, 1990 edition, PC 
  388.                          Magazine. Cleverly provides backup for 
  389.                          crucial data and makes unique "fingerprint" 
  390.                          of sensitive files.
  391.  
  392.     DBack                Backup FAT Tables, similar capability in PCDATA.
  393.                   
  394.     PC-Tools Deluxe      Repairs damage to file allocation table and 
  395.                          damaged files
  396.  
  397.     Mace+                Repairs damage to file allocation table and 
  398.     Utilities            damaged files               
  399.         
  400.  
  401.     Norton Utilities     Repairs damage to file allocation table and 
  402.                          damaged files               
  403.  
  404.        ---------------------------------------------------------------- 
  405.  
  406.                   WHAT NEXT? - WHAT TO DO WHEN A VIRUS BITES 
  407.  
  408.        ---------------------------------------------------------------- 
  409.  
  410.        The cat is out of the bag and you are pretty sure - that sinking 
  411.        feeling - that a virus is in your computer. What next? If you 
  412.        don't want to try to unravel the mess yourself, try calling 
  413.        McAfee Associates at the telephone number listed above. They can 
  414.        send you a diagnosis program (VIRUSCAN) and virus removal 
  415.        program - also available from most computer clubs and shareware 
  416.        vendors. 
  417.  
  418.        In the case of boot sector infestations, power down your system 
  419.        then restart from an uninfected write-protected ORIGINAL COPY 
  420.        DOS disk. Execute the DOS SYS command to attempt to overwrite 
  421.        the boot sector with new startup files. This will work in most 
  422.        cases. If it does not work, backup all data files which are 
  423.        essential (and maybe infected) then perform a low level format 
  424.        of the hard disk or a normal format if it is an infected floppy 
  425.        disk. Do likewise for ALL floppies which may have come into 
  426.        contact with the virus. When you are done, use VIRUSCAN to check 
  427.        for the presence of continuing virus infestation. 
  428.  
  429.        If an EXE or COM file has been infected, power down the system, 
  430.        reboot from the factory WRITE PROTECTED DOS disk, delete all 
  431.        infected COM and EXE files then replace them with the original 
  432.        files from the WRITE PROTECTED, factory original program disks. 
  433.        Run any virus detection utility again to check for absence of 
  434.        the virus.
  435.  
  436.        For a disk partition table infection the only option short of a 
  437.        removal utility is to low level format the disk. And with that 
  438.        action destroy not only the virus but also your data. Better 
  439.        hope you have backup data on a floppy disk! 
  440.  
  441.        After disinfecting a hard disk, you MUST test and probably
  442.        reformat EVERY floppy that came into contact with the infected 
  443.        computer. If you are reinstalling a backup copy, do not restore 
  444.        it unless it was made BEFORE the system became infected. Run 
  445.        a virus testing utility to be sure. 
  446.  
  447.        For additional help, consider contacting the National Computer 
  448.        Security Association at 717/258-1816 or McAfee Associates  
  449.        at 408/988-3832.
  450.        
  451.        Tutorial finished. Have you registered PC-Learn to receive your
  452.        bonus disks? Registration is encouraged. Shareware works on the
  453.        honor system! Send $25 to Seattle Scientific Photography, 
  454.        Department PCL6, PO Box 1506, Mercer Island, WA 98040. Latest 
  455.        version of PC-Learn and two bonus disks shipped promptly!
  456.  
  457.  
  458.