home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / virauth.txt < prev    next >
Encoding:
Text File  |  1996-04-22  |  21.2 KB  |  387 lines
  1.  
  2.                            ANATOMY OF A VIRUS AUTHOR
  3.  
  4.                         A biography of The Black Baron
  5.  
  6.                                       By
  7.  
  8.  
  9.                                 Matthew Probert
  10.  
  11. In 1969 Neil Armstrong stepped onto the moon. It was a momentous year for the
  12. world. But no-one at the time paid much attention to a baby boy being born in
  13. a town in southern England. This baby boy was destined to grow into one of the
  14. most infamous computer virus writers of all time. In 1969 The Black Baron was
  15. born!
  16.  
  17. The Black Baron never set out to become a computer virus writer. He left
  18. school at sixteen with a handful of CSE's and a burning desire to be a
  19. commercial airline pilot. He enjoyed swimming and science fiction comedy
  20. shows, such as Red Dwarf, and did all the things that any normal, healthy
  21. young man would do. He learnt to drive, passed his driving test and settled
  22. down to several years unemployed.
  23.  
  24. He is at pains to point out that he is not a thug, he does not have any
  25. criminal convictions;
  26.  
  27. "I don't even have a point on my driving licence" he laughs, when asked about
  28. criminal activities.
  29.  
  30. And yet what inspires a normal, healthy, well balanced young man to create the
  31. ultimate in computer terrosism, a polymorphic computer virus?
  32.  
  33. In examining Black Baron's motives one must consider his state of mind. Is he
  34. a shy, withdrawn individual who has problems with inter-personal relationships
  35. perhaps? No is the answer. He is not the cliche of a computer programmer. He
  36. owns a single second-hand Tandon 286 PC with an Amstrad monitor, and a rather
  37. old and modest modem.
  38.  
  39. "I don't even like computer programming!" he says when asked about it.
  40.  
  41. Perhaps however he is upset by his unemployment? An individual with his
  42. obvious and undeniable talent must surely feel some resentment at being
  43. unemployed. But he doesn't blame the computer industry directly, he certainly
  44. does resent the "old school tie" attitude which is so prevalent in England
  45. today, and he blames the Conservative government for doing much to reinforce
  46. this approach to employment.
  47.  
  48. "I don't wear the right colour tie" he says.
  49.  
  50. The inspiration to create a computer virus came to Black Baron after he read
  51. Ross M. Greenberg's comments about computer virus authors. Mr Greenberg, the
  52. American author of an anti-virus product called "Flu Shot" is very scathing
  53. and critical of people who write computer viruses. Indeed the introduction to
  54. the instruction manual which accompanies Flu Shot is preoccupied with
  55. questioning the emotional stability of the people who write computer viruses.
  56. I quote:
  57.  
  58.                                   Introduction
  59.  
  60.         What is a Trojan?
  61.         =================
  62.  
  63.         Back in the good old days (before there were computers), there
  64.         was this bunch of soldiers who had no chance of beating a
  65.         superior force or of even making it into their fortress.  They
  66.         had this nifty idea:  present the other side with a gift.  Once
  67.         the gift had been accepted, soldiers hiding within the gift would
  68.         sneak out and overtake the enemy from within.
  69.  
  70.         We can only think of the intellectual giants of the day who would
  71.         accept a gift large enough to house enemy soldiers without
  72.         checking its contents.  Obviously, they had little opportunity to
  73.         watch old WWII movies to see the same device used over and over
  74.         again.  They probably wouldn't have appreciated Hogan's Heroes
  75.         anyway.  No color TV's -- or at least not ones with reliable
  76.         reception.
  77.  
  78.         Consider the types of people who would be thrilled at the concept
  79.         of owning their own rough hewn, large wooden horse!  Perhaps they
  80.         wanted to be the first one on their block, or something silly
  81.         like that.
  82.  
  83.         Anyway, you're all aware of the story of The Trojan Horse.
  84.  
  85.         Bringing ourselves a bit closer to the reality we've all grown to
  86.         know and love, there's a modern day equivalent:  getting a gift
  87.         from your BBS or user group which contains a little gem which
  88.         will attack your hard disk, destroying whatever data it contains.
  89.  
  90.         In order to understand how a potentially useful program can cause
  91.         such damage when corrupted by some misguided soul, it's useful to
  92.         understand how your disk works, and how absurdly easy it is to
  93.         cause damage to the data contained thereon.  So, a brief
  94.         technical discussion of the operation of your disk is in order.
  95.         For those who aren't concerned, turn the page or something.
  96.  
  97.         Data is preserved on a disk in a variety of different physical
  98.         ways having to do with how the data is encoding in the actual
  99.         recording of that data. The actual *structure* of that data,
  100.         however, is the same between MS-DOS machines.  Other operating
  101.         systems have a different structure, but that doesn't concern us
  102.         now.
  103.  
  104.         Each disk has a number of "tracks". These are sometimes called
  105.         cylinders from the old type IBMer's.  These are the same people
  106.         who call hard disks DASDs (Direct Access Storage Devices), so we
  107.         can safely ignore their techno-speak, and just call them tracks.
  108.         Tracks can be thought of as the individual little grooves on an
  109.         audio record, sort of.
  110.  
  111.         Anyway, each track is subdivided into a number of sectors.  Each
  112.         track has the same number of sectors.  Tracks are numbered, as
  113.  
  114.         are sectors.  Any given area on the disk can be accessed if a
  115.         request is made to read or write data into or out of Track-X,
  116.         Sector Y.  The read or write command is given to the disk
  117.         controller, which is an interface between the computer itself and
  118.         the hard disk.  The controller figures out what commands to send
  119.         to the hard disk,  the hard disk responds and the data is read or
  120.         written as directed.
  121.  
  122.         The first track on the hard disk typically will contain a small
  123.         program which is read from the hard disk and executed when you
  124.         first power up your machine.  The power up sequence is called
  125.         "booting" your machine, and therefore the first track is typical
  126.         known as the "boot track".
  127.  
  128.         In order to read information from your disk in a logical
  129.         sequence, there has to be some sort of index.  An unusual index
  130.         method was selected for MS-DOS.  Imagine going to the card index
  131.         in a library, looking up the title you desire, and getting a
  132.         place in another index which tells you where on the racks where
  133.         the book is stored.  Now, when you read the book, you discover
  134.         that only the first chapter of the book is there.  In order to
  135.         find the next chapter of the book, you have to go back to that
  136.         middle index, which tells you where the next chapter is stored.
  137.         This process continues until you get to the end of the book.
  138.         Sounds pretty convoluted, right?  You bet!  However, this is
  139.         pretty much how MS-DOS does its "cataloguing" of files.
  140.  
  141.         The directory structure of MS-DOS allows for you to look up an
  142.         item called the "first cluster".  A cluster represents a set of
  143.         contiguous ("touching or in contact" according to Random House)
  144.         tracks and sectors.  It is the smallest amount of information
  145.         which the file structure of MS-DOS knows how to read or write.
  146.  
  147.         Based on the first cluster number as stored in the directory, the
  148.         first portion of a file can be read.  When the information
  149.         contained therein is exhausted, MS-DOS goes to that secondary
  150.         index for a pointer to the next cluster.  That index is called
  151.         the File Allocation Table, commonly abbreviated to "FAT".  The
  152.         FAT contains an entry for each cluster on the disk.  An FAT entry
  153.         can have a few values: ones which indicate that the cluster is
  154.         unused, another which indicates that the associated cluster has
  155.         been damaged somehow and that it should be marked as a "bad
  156.         cluster", and a pointer to the next cluster for a given file.
  157.         This allows for what is called a linked list:  once you start
  158.         looking up clusters associated with a given file, each FAT entry
  159.         tells you what the next cluster is.  At the end of the linked
  160.         list is a special indicator which indicates that there are no
  161.         more clusters associated with the file.
  162.  
  163.         There are actually two copies of the FAT stored on your disk, but
  164.         no one really knows what the second copy was intended for.
  165.         Often, if the first copy of the FAT is corrupted for some reason,
  166.         a clever programmer could recover information from the second
  167.         copy to restore to the primary FAT.  These clever programmers can
  168.         be called "hackers", and should not be confused with the thieves
  169.  
  170.         who break into computer systems and steal things, or the "worms"
  171.         [Joanne Dow gets credit for *that* phrase!] who would get joy out
  172.         of causing you heartache!
  173.  
  174.         But that heartache is exactly what can happen if the directory
  175.         (which contains the pointer to the first cluster a file uses),
  176.         the FAT (which contains that linked list to other areas on the
  177.         disk which the file uses), or other areas of the disk get
  178.         corrupted.
  179.  
  180.         And that's what the little worms who create Trojan programs do:
  181.         they cause what at first appears to be a useful program to
  182.         eventually corrupt the important parts of your disk.  This can be
  183.         as simple as changing a few bytes of data, or can include wiping
  184.         entire tracks clean.
  185.  
  186.         Not all programs which write to your hard disk are bad ones,
  187.         obviously.  Your word processor, spreadsheet, database and
  188.         utility programs have to write to the hard disk.  Some of the DOS
  189.         programs (such as FORMAT), if used improperly, can also erase
  190.         portions of your hard disk causing you massive amounts of grief.
  191.         You'd be surprised what damage the simple "DEL" command can do
  192.         with just a simple typo.
  193.  
  194.         But, what defines a Trojan program is its delivery mechanism: the
  195.         fact that you're running something you didn't expect.  Typical
  196.         Trojan programs cause damage to your data, and were designed to
  197.         do so by the worms who writhe in delight at causing this damage.
  198.         May they rot in hell -- a mind is a terrible thing to waste!
  199.  
  200.         Considering the personality required to cause such damage, you
  201.         can rest assured that they have few friends, and even their
  202.         mother doesn't like to be in the same room with them.  They sit
  203.         back and chortle about the damage they do with a few other lowly
  204.         worms.  This is their entire social universe. You should pity
  205.         them.  I know that I do.
  206.  
  207.         What is a Virus?
  208.         ================
  209.  
  210.         Trojan programs are but a delivery mechanism, as stated above.
  211.         They can be implemented in a clever manner, so that they only
  212.         trigger the malicious part on a certain date, when your disk
  213.         contains certain information or whatever.  However they're coded,
  214.         though, they typically affect the disk only in a destructive
  215.         manner once triggered.
  216.  
  217.         A new breed of programs has the capability of not only reserving
  218.         malicious damage for a given event's occurrence, but of also
  219.         replicating itself as well.
  220.  
  221.         This is what people refer to when they mention the term "Virus
  222.         Program".
  223.  
  224.         Typically, a virus will spread itself by replicating a portion of
  225.         itself onto another program.  Later, when that normally safe
  226.         program is run it will, in part, execute a set of instructions
  227.         which will infect other programs and then potentially, trigger
  228.         the Trojan portion of the program contained within the virus.
  229.  
  230.         The danger of the virus program is twofold. First, it contains a
  231.         Trojan which will cause damage to your hard disk.  The second
  232.         danger is the reason why everyone is busy building bomb shelters.
  233.         This danger is that the virus program will infect other programs
  234.         and they in turn will infect other programs and so forth.  Since
  235.         it can also infect programs on your floppy disks, you could
  236.         unknowingly infect other machines!  Pretty dangerous stuff,
  237.         alright!
  238.  
  239.         Kenneth van Wyck, one of the computer folks over at Lehigh
  240.         University, first brought a particular virus to the attention of
  241.         the computer community.  This virus infects a program, which
  242.         every MS-DOS computer must have, called COMMAND.COM.  This is the
  243.         Command Line Interpreter and is the interface between your
  244.         keyboard and the MS-DOS operating system itself.  Whatever you
  245.         type at the C: prompt will be interpreted by it.
  246.  
  247.         Well, the virus subverts this intended function, causing the
  248.         infection of neighboring COMMAND.COMs before continuing with
  249.         normal functionality of the command you typed.  After a certain
  250.         number of "infections", the Trojan aspect of the program goes
  251.         off, causing you to lose data.
  252.  
  253.         The programmer was clever.  But still a worm.  And still
  254.         deserving of contempt instead of respect.  Think of what good
  255.         purposes the programmer could have put his or her talents to
  256.         instead of creating this damage.  And consider what this
  257.         programmer must do, in covering up what they've done.  They
  258.         certainly can't tell anyone what they've accomplished.
  259.         Justifiable homicide comes to mind, but since the worms they must
  260.  
  261.         hang around are probably as disreputable as they are, they must
  262.         hold their little creation a secret.
  263.  
  264.         A pity.  Hopefully, the worm is losing sleep.  Or getting a sore
  265.         neck looking behind them wondering which of their "friends" are
  266.         gonna turn them in for the reward I list towards the end of this
  267.         document.
  268.  
  269.         The Challenge to the Worm
  270.         =========================
  271.  
  272.         When I first released a program to try to thwart their demented
  273.         little efforts, I published this letter in the archive (still in
  274.         the FLU_SHOT+ archive of which this is a part of).  What I say in
  275.         it still holds:
  276.  
  277.                     As for the designer of the virus program: most
  278.                     likely an impotent adolescent, incapable of
  279.                     normal social relationships, and attempting to
  280.                     prove their own worth to themselves through
  281.                     these type of terrorist attacks.
  282.  
  283.                     Never succeeding in that task (or in any
  284.                     other), since they have no worth, they will one
  285.                     day take a look at themselves and what they've
  286.                     done in their past, and kill themselves in
  287.                     disgust.  This is a Good Thing, since it saves
  288.                     the taxpayers' money which normally would be
  289.                     wasted on therapy and treatment of this
  290.                     miscreant.
  291.  
  292.                     If they *really* want a challenge, they'll try
  293.                     to destroy *my* hard disk on my BBS, instead of
  294.                     the disk of some innocent person.  I challenge
  295.                     them to upload a virus or other Trojan horse to
  296.                     my BBS that I can't disarm.  It is doubtful the
  297.                     challenge will be taken: the profile of such a
  298.                     person prohibits them from attacking those who
  299.                     can fight back.  Alas, having a go with this
  300.                     lowlife would be amusing for the five minutes
  301.                     it takes to disarm whatever they invent.
  302.  
  303.                     Go ahead, you good-for-nothing little
  304.                     slimebucket:  make *my* day!
  305.  
  306.         Alas, somebody out there opted to do the cowardly thing and to
  307.         use the FLUSHOT programs as a vehicle for wrecking still more
  308.         destruction on people like you.  The FLUSHOT3 program was
  309.         redistributed along with a companion program to aid you in
  310.         reading the documentation.  It was renamed FLUSHOT4.  And the
  311.         reader program was turned into a Trojan itself.
  312.  
  313.         I guess the programmer involved was too cowardly to take me up on
  314.         my offer and prefers to hurt people not capable of fighting back.
  315.         I should have known that, I suppose, but I don't normally think
  316.         of people who attack innocents. Normally, I think of people to
  317.         respect, not people to pity, certainly not people who must cause
  318.         such damage in order to "get off".
  319.  
  320.         They are below contempt, obviously, and can do little to help
  321.         themselves out of the mire they live in.
  322.  
  323.         Still, a worm is a worm.
  324.  
  325. Insensed by what he saw as the narrow, biggoted attitude of the author, our
  326. young man, then twenty four years old, decided to write a program which would
  327. infect other other computer programs and more than that. One which would with
  328. each infection change its form so as to avoid detection by Flu Shot and other
  329. virus scanners. At christmas 1993, Pathogen was completed. One month later
  330. SMEG 0.1 was included and the first SMEG virus hit the computer world.
  331.  
  332. In Febuary 1994 Black Baron, as the author was calling himself, released a
  333. subsequent computer virus. Queeg. This time he updated the polymorphic engine
  334. (SMEG) into version 0.2.
  335.  
  336. Shortly aftwerwards the Thunderbyte anti-virus software underwent a major new
  337. release, with verion 6.20 which in fairness detects 96% of SMEG version 0.1
  338. and version 0.2 infections. Unfortunately, the author's of Thunderbyte suffer
  339. from the same arrogance as Mr Greenberg. They have widely boasted that their
  340. new virus scanner can detect any polymorphic viruses. Needless to say this is
  341. seen as a challenge by Black Baron. And being an Englishman, he can't resist a
  342. challenge. It is not surprising to learn then, that as I write this in June
  343. 1994 Black Baron is just finishing off SMEG version 0.3 which is completely
  344. undetectable by any current virus scanner, including Thunderbyte release 6.20.
  345.  
  346. I ask myself when is this is all going to end? Perhaps when computer users
  347. become sufficiently educated to be able to use the equipment at their
  348. disposal. Perhaps when computers stop attracting social inadequates, but whom
  349. I am refering to the arrogant members of the anti-virus lobby as well as the
  350. nefarious virus authors. But what of the Black Baron? What is he? Is he a
  351. malicious criminal? A computer terrorist? A social inadequate trying to
  352. reassure himself of his own inadequacies through destroying computer data? I
  353. don't belive so. I have spoken to Black Baron on a number of occassions. He is
  354. happy to discuss his work, and, at my request, he has even released a document
  355. detailing the design of SMEG. He doesn't feed on the panic and fear that SMEG
  356. viruses such as Pathogen and Queeg cause. Rather he revels in the
  357. embarrasement and panic which his software causes the arrogant anti-virus
  358. writers.
  359.  
  360. It is quite questionable whether Black Baron was sensible in taking this
  361. course of action. It does appear that he has adopted a "I'll show you"
  362. attitude. But it is equally obvious that the real villian is the person who
  363. caused the trouble in the first place, Mr Greenberg and his arrogant and
  364. biggoted view. You still don't believe me? Okay, as a finale let me say this.
  365. Black Baron knows that I write anti-virus software. He knew this before he
  366. gave me an interview. And knowing that I write anti-virus software he provided
  367. me with the source code of Pathogen, Queeg and SMEG so that I might improve my
  368. anti-virus software. He even supplied me with software which creats safe SMEG
  369. encrypted programs for testing purposes. These are not the actions of a mad
  370. man. These are the actions of a man who just wants to be respected for what he
  371. is. A damn hot programmer.
  372.  
  373. After talking with him, I understand the Black Baron. I feel sorry for him as
  374. well. He is a highly gifted individual who has not been given a chance by
  375. computer society. So he has made his own chance. We all need recognition.
  376. Mainly through employment, but we as thinking machines must receive
  377. recognition for our abilities. Otherwise we sink into melancholy and
  378. paranoida. Black Baron has received his recognition. We, the computer society
  379. are responsible for the creation of Pathogen, Queeg, SMEG and all the other
  380. computer viruses. We have no one to blame but ourselves. It is our desire to
  381. keep the computer fraternity a closed club which has alienated so many of our
  382. colleagues. By rubbing their noses in it, so to speak, we have begged for
  383. trouble, and like the inhabitants of Troy, we have received it.
  384.  
  385. Matthew Probert
  386. Servile Software
  387.