home *** CD-ROM | disk | FTP | other *** search
/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-12 / virus.doc < prev    next >
Encoding:
Text File  |  1991-11-26  |  21.1 KB  |  362 lines
  1.  
  2.      Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg       Page 1 of 6
  3.  
  4.  
  5.                                  Computer Virus Myths
  6.  
  7.                                   by Rob Rosenberger
  8.                                 with Ross M. Greenberg
  9.  
  10.  
  11.      A number of myths have popped up recently about the threat of computer
  12.      "viruses".  There are myths about how widespread they are, how dangerous
  13.      they are, and even myths about what a computer virus really is.  We'd like
  14.      the facts to be known.
  15.  
  16.      The first thing to learn is that a virus is a malicious programming
  17.      technique falling in the realm of "Trojan horses."  All viruses are Trojan
  18.      horses, but few Trojan horses can be called a virus.
  19.  
  20.      That having been said, it's time to go over the terminology we use when we
  21.      lecture:
  22.  
  23.      BBS     Bulletin Board System.  If you have a modem, you can call a BBS and
  24.              leave messages, transfer computer files back & forth, and learn a
  25.              lot about computers.  (What you're reading right now, for example,
  26.              most likely came to you from a BBS.)
  27.  
  28.      Bug     an accidental flaw in the logic of a program which makes it do
  29.              things it shouldn't really be doing.  Programmers don't mean to put
  30.              bugs in their program, but they always creep in.  Programmers tend
  31.              to spend more time debugging their programs than they do writing
  32.              them in the first place.  Inadvertent bugs have caused more data
  33.              loss than all the viruses combined.
  34.  
  35.      Hacker  someone who really loves computers and who wants to push them to
  36.              the limit.  Hackers have a healthy sense of curiosity: they try
  37.              doorknobs just to see if they're locked, and they tinker with a
  38.              piece of equipment until it's "just right."  The computer revolu-
  39.              tion itself is a result of hackers.
  40.  
  41.      Shareware
  42.              a distribution method for quality software available on a "try
  43.              before you buy" basis.  You pay for the program only if you find it
  44.              useful.  Shareware programs can be downloaded from BBSs and you are
  45.              encouraged to give evaluation copies to friends.  Many shareware
  46.              applications rival the power of off-the-shelf counterparts, at just
  47.              a fraction of the price.  (You must pay for the shareware you
  48.              continue to use ── otherwise you're stealing software.)
  49.  
  50.      Trojan
  51.      horse   a generic term describing a set of computer instructions purposely
  52.              hidden inside a program.  Trojan horses tell a program to do things
  53.              you don't expect it to do.  The term comes from a legendary battle
  54.              in which the ancient city of Troy was offered the "gift" of a large
  55.              wooden horse that secretly held soldiers in its belly.  The Trojans
  56.              rolled it into their fortified city....
  57.  
  58.      Virus   a term for a very specialized Trojan horse which spreads to other
  59.              computers by secretly "infecting" programs with a copy of itself.
  60.              A virus is the only type of Trojan horse which is contagious, like
  61.  
  62.      Computer Virus Myths                                            Page 2 of 6
  63.  
  64.  
  65.              the common cold.  If it doesn't meet this definition, then it isn't
  66.              a virus.
  67.  
  68.      Worm    a term similar to a Trojan horse, but there is no "gift" involved.
  69.              If the Trojans had left that wooden horse outside the city, they
  70.              wouldn't have been attacked.  Worms, on the other hand, can bypass
  71.              your defenses without having to deceive you into dropping your
  72.              guard.  An example is a program designed to spread itself by
  73.              exploiting bugs in a network software package.  Worms are usually
  74.              released by someone who has normal access to a computer or network.
  75.  
  76.      Wormers the name given to the people who unleash destructive Trojan horses.
  77.              Let's face it, these people aren't angels.  What they do hurts us.
  78.              They deserve our disrespect.
  79.  
  80.      Viruses, like all Trojan horses, are purposely designed to make a program
  81.      do things you don't expect it to do.  Some viruses are just an annoyance,
  82.      perhaps only displaying a "Peace on earth" greeting.  The viruses we're
  83.      worried about are designed to destroy your data (the most valuable asset of
  84.      your computer!) and waste your valuable time in recovering from an attack.
  85.  
  86.      Now you know the difference between a virus and a Trojan horse and a bug.
  87.      Let's get into some of the myths:
  88.  
  89.      "All purposely destructive code comes as a virus."
  90.         Wrong.  Remember, "Trojan horse" is the general term for purposely
  91.      destructive code.  Very few Trojan horses are actually viruses.
  92.  
  93.      "Viruses and Trojan horses are a recent phenomenon."
  94.         Trojan horses have been around since the first days of the computer.
  95.      Hackers toyed with viruses in the early 1960s as a form of amusement.  Many
  96.      different Trojan horse techniques were developed over the years to embezzle
  97.      money, destroy data, etc.  The general public wasn't aware of this problem
  98.      until the IBM PC revolution brought it out into the spotlight.  Banks were
  99.      still covering up computerized embezzlements six years ago because they
  100.      believed they'd lose customers if word got out.
  101.  
  102.      "Viruses are written by hackers."
  103.         Yes, hackers have written viruses.  So has a computer magazine pub-
  104.      lisher.  Trojan horses were written for decades by middle-aged men wearing
  105.      business suits.  We call people "wormers" when they abuse their knowledge
  106.      of computers.  You shouldn't be afraid of hackers just because they know
  107.      how to write viruses.  This is an ethics issue, not a technology issue.
  108.      Hackers know a lot about computers; wormers abuse this knowledge.  Hackers
  109.      (as a whole) got a bum rap when the mass media corrupted the term.
  110.  
  111.      "Computer viruses are reaching epidemic proportions."
  112.         Wrong again.  Viruses may be spread all over the planet but they won't
  113.      take over the world.  There are about 150 or so known "strains" at this
  114.      time and some of them have been completely eliminated.  Your chances of
  115.      being infected are slim if you take the proper precautions.  Yes, it's
  116.      still safe to turn on your computer!
  117.  
  118.      "Viruses could destroy all the files on my disks."
  119.         Yes, and a spilled cup of coffee will do the same thing.  If you have
  120.      adequate backup copies of your data, you can recover from any virus/coffee
  121.      attack.  Backups mean the difference between a nuisance and a disaster.  It
  122.  
  123.      Computer Virus Myths                                            Page 3 of 6
  124.  
  125.  
  126.      is safe to presume there has been more accidental loss of data than loss by
  127.      viruses and Trojan horses.
  128.  
  129.      "Viruses have been documented on over 400,000 computers."
  130.         This statistic comes from John McAfee, a self-styled virus fighter who
  131.      seems to come up with all the quotes the media love to hear.  If you assume
  132.      it takes five minutes to adequately document a viral infection, you have to
  133.      wonder where Mr. McAfee got almost four man-years to document a problem
  134.      which is less than four years old.  We further assume his statistics
  135.      include every floppy disk ever infected with a virus, as well as all of the
  136.      computers participating in the Christmas & InterNet worm attacks.  (Worms
  137.      cannot be included in virus infection statistics.)  The press doesn't
  138.      really understand computer crimes, so they tend to call almost anything
  139.      a virus.
  140.  
  141.      "Viruses can be hidden inside a data file."
  142.         Data files can't wreak havoc on your computer ── only an executable
  143.      program file can do that.  If a virus were to infect a data file, it would
  144.      be a wasted effort.  But let's be realistic: what you think is 'data' may
  145.      actually be an executable program file.  For example, batch files are text
  146.      files, yet the MSDOS operating system treats them like a program.
  147.  
  148.      "Most BBSs are infected with viruses."
  149.         Here's another scary myth drummed up in the big virus panic.  Very few
  150.      BBSs are really infected.  It's possible a dangerous file may be available
  151.      on a BBS but it doesn't mean the BBS itself is infected.  If a BBS were
  152.      knowingly infected with a virus, it wouldn't stay open too long after word
  153.      got out, would it?
  154.  
  155.      "BBSs and shareware programs spread viruses."
  156.         "The truth," says PC Magazine publisher Bill Machrone, "is that all
  157.      major viruses to date were transmitted by [retail] packages and private
  158.      mail systems, often in universities."  (PC Magazine, October 11, 1988.)
  159.      The Peace virus, for example, made its way into a retail product sold to
  160.      thousands of customers.  Machrone goes on to say "bulletin boards and
  161.      shareware authors work extraordinarily hard at policing themselves to keep
  162.      viruses out."  Reputable sysops check every file for Trojan horses; nation-
  163.      wide sysop networks help spread the word about dangerous files.  You should
  164.      be wary of the software you get from BBSs, that's true ── but you should
  165.      also be wary of the software you get from store shelves.  (By the way, some
  166.      stores now have return policies for software.  Do you know for sure you
  167.      were the first person to use those master disks?)
  168.  
  169.      "My computer could be infected if I call an infected BBS."
  170.         BBSs can't write information on your disks ── that's handled by the
  171.      communications software you use.  You can only transfer a dangerous file if
  172.      you let your software do it.  (This might be different if your computer is
  173.      hooked up to a network, but it requires special hardware & software.)  And
  174.      there is no "300bps subcarrier" that lets a virus slip through a high speed
  175.      modem.  The rumor was started by a joker named Mike RoChenle (IBM's "micro
  176.      channel" PS/2 architecture, get it?) who left a techy-joke message on a
  177.      public BBS.  Unfortunately, a few highly respected journalists were taken
  178.      in by this joke.
  179.  
  180.      Computer Virus Myths                                            Page 4 of 6
  181.  
  182.  
  183.      "My files are damaged, so it must have been a virus attack."
  184.         It also could have been caused by a power flux, or static electricity,
  185.      or a fingerprint on a floppy disk, or a bug in your software, or perhaps a
  186.      simple error on your part.  Power failures and spilled cups of coffee have
  187.      destroyed more data than all the viruses combined.
  188.  
  189.      "Donald Burleson was convicted of releasing a virus."
  190.         A recent Texas computer crime trial was hailed all over the country as a
  191.      "virus" trial.  Donald Burleson was in a position to release a complex,
  192.      destructive worm on his employer's mainframe computer.  This particular
  193.      worm couldn't spread to other computers, so it couldn't possibly have been
  194.      a virus.  Davis McCown, the prosecuting attorney, claims he "never brought
  195.      up the word virus" in the trial.  So why did the media call it one?
  196.       1. David Kinney, a witness testifying for the defense (oddly enough),
  197.          claimed he believed Burleson unleashed a virus.  The prosecuting
  198.          attorney didn't argue the point and we don't blame him ── Kinney's
  199.          bizarre claim probably helped sway the jury to convict Burleson, and it
  200.          was the defense's fault for letting him testify.
  201.       2. McCown gives reporters the facts behind the case and lets them come up
  202.          with their own definitions.  The Associated Press and USA Today, among
  203.          others, used such vague definitions that any program could be called a
  204.          virus.  If we applied their definitions to the medical world, we could
  205.          safely claim penicillin is a biological virus (which is, of course,
  206.          absurd).
  207.       3. McCown claims many quotes attributed to him "are misleading or fab-
  208.          ricated" and identified one in particular which "is total fiction."
  209.          Reporters sometimes print a quote out of context, and McCown apparently
  210.          fell victim to it.  (It's possible a few bizarre quotes from David
  211.          Kinney or John McAfee were accidentally attributed to McCown.)
  212.  
  213.      "Robert Morris Jr. released a benign virus on a defense network."
  214.         It may have been benign, but it wasn't a virus.  Morris, the son of a
  215.      chief computer scientist at the National Security Agency, allegedly became
  216.      bored and took advantage of a bug in the Defense Department's networking
  217.      software.  This tiny bug let him send a worm through the network.  Among
  218.      other things, Morris's "InterNet" worm was able to send copies of itself to
  219.      other computers in the network.  Due to some bugs in the worm module
  220.      itself, the network became clogged in a matter of hours.  The press
  221.      originally called it a "virus," like it called the Christmas worm a virus,
  222.      because it spread to other computers.  Yet it didn't infect any computers.
  223.      A few notes:
  224.       1. Reporters finally started calling it a worm (a year after the fact),
  225.          but only because lawyers in the case were constantly referring to it as
  226.          such.  The difference between a worm and a virus is subtle, but
  227.          profound.
  228.       2. This worm worked only on Sun-3 & Vax computers which run a UNIX
  229.          operating system and were specifically linked into the InterNet network
  230.          at the time.
  231.       3. The 6,200 affected computers cannot be counted in any virus infection
  232.          statistics (they weren't infected).
  233.       4. It cost way less than $96 million to clean up the attack.  An official
  234.          Cornell University report claims the group behind this wild estimate
  235.          "was probably serving itself" in an effort to drum up business.  People
  236.          familiar with the case estimated the final figure to be under
  237.          $1 million.
  238.       5. Yes, Morris could easily have added some infection code to make it a
  239.          worm/virus if he'd had the urge.
  240.  
  241.      Computer Virus Myths                                            Page 5 of 6
  242.  
  243.  
  244.       6. The network bug exploited in the attack has since been fixed.
  245.       7. Morris went to trial for launching the InterNet worm and was recently
  246.          handed a federal conviction.
  247.  
  248.      "Viruses can spread to all sorts of computers."
  249.         All Trojan horses are limited to a family of computers, and this is
  250.      especially true for viruses.  A virus designed to spread on IBM PCs cannot
  251.      infect an IBM 4300-series mainframe, nor can it infect a Commodore C64, nor
  252.      can it infect an Apple MacIntosh.
  253.  
  254.      "My backups will be worthless if I back up a virus."
  255.         No, they won't.  Let's suppose a virus does get backed up with your
  256.      files.  You can restore important documents and databases without restoring
  257.      an infected program.  You just reinstall programs from master disks.  It's
  258.      tedious work but it's not as hard as people claim.
  259.  
  260.      "Anti-virus software will protect me from viruses."
  261.         There is no such thing as a foolproof anti-virus program: Trojan horses
  262.      and viruses can be (and have been) designed to bypass them.  Anti-virus
  263.      products themselves can be tricky to use at times.  You may make a crucial
  264.      mistake deciding whether to let a "flagged" event occur.  Your first line
  265.      of defense should always be a good set of backups.  Anti-virus software is
  266.      a good second line of defense.
  267.  
  268.      "Read-only files are safe from virus infections."
  269.         This is a common myth among IBM PC users, and it has even been published
  270.      (erroneously) in some computer magazines.  Supposedly, you can protect
  271.      yourself by using the DOS ATTRIB command to set the read-only attribute on
  272.      program files.  However, ATTRIB is software ── and what it can do, a virus
  273.      can undo.  The ATTRIB command seldom halts the spread of viruses.
  274.  
  275.      "Viruses can infect files on write-protected disks."
  276.         Here's another common IBM PC myth.  If viruses can modify read-only
  277.      files, people assume they can modify write-protected floppies.  What they
  278.      don't realize is the disk drive itself knows when a floppy is protected and
  279.      refuses to write to it.  You can physically disable the drive's sensor but
  280.      you can't override it with a software command.
  281.  
  282.  
  283.  
  284.      We hope this dispels the many computer virus myths.  Viruses DO exist, many
  285.      of them will destroy files, and all of them can spread to other computers.
  286.      But you can defend yourself with a cool head and a good set of backups.
  287.  
  288.      The following guidelines can shield you from Trojan horses and viruses.
  289.      They will lower your chances of being infected and raise your chances of
  290.      recovering from an attack.
  291.  
  292.       1. Set up a procedure to regularly back up your files and follow it
  293.          religiously.  Consider purchasing a user-friendly program to take the
  294.          drudgery out of this task.  (There are plenty to choose from.)
  295.       2. Rotate between at least two sets of backups for better security (use
  296.          set #1, then set #2, then set #1...).  The more sets you use, the
  297.          better protected you are.  Many people take a "master" backup of their
  298.          entire hard disk, then take "incremental" backups of those files which
  299.          changed since the last time they backed up.  Incremental backups might
  300.          only require five minutes of your time each day.
  301.  
  302.      Computer Virus Myths                                            Page 6 of 6
  303.  
  304.  
  305.       3. Download files only from reputable BBSs where the sysop checks every
  306.          program for Trojan horses.  If you're still afraid, consider getting
  307.          programs from a BBS or "disk vendor" company which gets them direct
  308.          from the authors.
  309.       4. Let newly uploaded files "mature" on a BBS for one or two weeks before
  310.          you download it (others will put it through its paces).
  311.       5. Consider using a program that creates a unique "signature" of all the
  312.          programs on your computer.  Run this program once in awhile to see if
  313.          any of your applications have been modified ── either by a virus or by
  314.          a stray gamma ray.
  315.       6. DON'T PANIC if your computer starts acting weird.  It may be a virus,
  316.          but then again maybe not.  Immediately turn off all power to your
  317.          computer and disconnect it from any local area networks.  Reboot from a
  318.          write-protected copy of your master DOS disk.  Do NOT run any programs
  319.          on a "regular" disk (you might activate a Trojan horse).  If you don't
  320.          have adequate backups, try to bring them up to date.  Yes, you might
  321.          back up a virus as well, but it can't hurt you if you don't use your
  322.          normal programs.  Set your backups off to the side.  Only then can you
  323.          safely hunt for problems.
  324.       7. If you can't figure out what's wrong and you aren't sure what to do
  325.          next, turn off your computer and call for help.  Consider calling a
  326.          local computer group before you call for an expert.  If you need a
  327.          professional, consider a regular computer consultant first.  Some
  328.          "virus removal experts" sell their services for prices far in excess of
  329.          their actual value.
  330.       8. [This should only be considered as a last resort.]  If you can't figure
  331.          out what's wrong and you are sure of yourself, execute both a low-level
  332.          and a high-level format on all your regular disks.  Next, carefully re-
  333.          install all software from the master disks (not from the backups).
  334.          Then, carefully restore only the data files (not the program files)
  335.          from your backup disks.
  336.  
  337.      We'd appreciate it if you would mail us a copy of any Trojan horse or virus
  338.      you discover.  (Be careful you don't damage the data on your hard disk
  339.      while trying to do this!)  Include as much information as you can and put a
  340.      label on the disk saying it contains a malicious program.  Send it to Ross
  341.      M. Greenberg, 594 Third Avenue, New York, NY 10016.  Thank you.
  342.  
  343.        Ross M. Greenberg is the author of both shareware and retail virus
  344.        detection programs.  Rob Rosenberger is the author of various phone
  345.        bill analysis applications.  (Products are not mentioned by name
  346.        because this isn't the place for advertisements.)  They each write for
  347.        national computer magazines.  These men communicated entirely by modem
  348.        while writing this treatise.
  349.  
  350.               Copyright (c) 1988,90 Rob Rosenberger & Ross M. Greenberg
  351.  
  352.  
  353.      Rosenberger can be reached electronically on CompuServe as [74017,1344], on
  354.      GEnie as R.ROSENBERGE, on InterNet as `74017.1344@compuserve.com', and on
  355.      various national BBS linkups.  Greenberg can be reached on MCI and BIX as
  356.      `greenber', on UseNet as `c-rossgr@microsoft.com', and on CompuServe as
  357.      [72461,3212].
  358.  
  359.      You may give copies of this to anyone if you pass it along in its entirety.
  360.      Publications may reprint this for free if they obtain prior written per-
  361.      mission.  Write to Rob Rosenberger, P.O. Box 643, O'Fallon, IL 62269.
  362.