home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / comp / os / msdos / misc / 6791 < prev    next >
Encoding:
Internet Message Format  |  1992-12-31  |  5.2 KB
  1. Path: sparky!uunet!gatech!enterpoop.mit.edu!eru.mt.luth.se!kth.se!sunic!isgate!complex!frisk
  2. From: frisk@complex.is (Fridrik Skulason)
  3. Newsgroups: comp.os.msdos.misc
  4. Subject: Re: Virus Advice needed
  5. Message-ID: <181@complex.complex.is>
  6. Date: 31 Dec 92 15:10:27 GMT
  7. References: <Michel_Gerber.042m@bearsden.UUCP> <1hohdhINNr3t@crcnis1.unl.edu> <1992Dec29.230130.3527@Princeton.EDU> <180@complex.complex.is> <1htpiqINN2jk@crcnis1.unl.edu>
  8. Organization: Frisk Software International, Iceland
  9. Lines: 99
  10.  
  11. vporguen@unlinfo.unl.edu (victor porguen) writes:
  12.  
  13. >> There are only a few cases of diskettes actually being infected 
  14. >> in the original duplication process, but there have been quite a 
  15. >> few isolated cases of stores accepting returned software, and 
  16. >> re-shrinkwrapping it.
  17.  
  18. >Such unrelated, widely separate and different processes cannot be 
  19. >logically connected in any quantitative sense as above.
  20.  
  21. I was not trying to connect them in any way.  Let my try to make this a bit
  22. clearer:
  23.  
  24.    1)  Massive distribution of viruses because of infected "masters" is
  25.        rare, but has happened in a few cases.  The number of diskettes
  26.        in those cases may be less than 100, or in the tens of thousands,
  27.        but fortunately this happens only rarely.
  28.  
  29.    2)  There are occasional, isolated cases of shrink-wrapped software
  30.        found to be infected (for example if somebody opens a package,
  31.        write-protects the diskette and scans it).  When this happens,
  32.        other packages from the same batch are examined, and if they
  33.        are clean, it is most likely that the package was opened before,
  34.        the software infected, (accidentally or not), returned and re-wrapped.
  35.  
  36. Neither of those processes is responsible for most of the virus-infections
  37. we see, however.  "Borrowed" software from friends, diskettes transferred
  38. between home computers and office computers, and just plain carelessness
  39. account for the majority of infections.
  40.  
  41. >As far as inclusion of computer "viruses" into disks, viruses
  42. >are incorporated at various stages of a disk's life and as a result
  43. >of a variety of actions and processes.
  44.  
  45. True, but it is generally possible to see if the virus was present
  46. when the disk was originally duplicated, or added later.
  47.  
  48. >inferences are often wrong.  Especially in the virus/antivirus
  49. >business,  were crazy rumors are often started and encouraged by 
  50. >vendors of antivirus software, obviously in their own interest, 
  51.  
  52. I hope you did not mean this as an insult, but be careful.  As for the "crazy
  53. rumors", there have been a few cases like that, yes, but vendors are in
  54. general careful.  I would rather say that the media has on occasions blown
  55. things quite out of proportion...the "DataCrime" and "Michelangelo"
  56. hysteria was mostly due to totally irresponsible reporting.
  57.  
  58. >and usually without any substantiation that can be independently 
  59. >verified.  Until somebody can show me verifiable figures, I'll
  60. >continue calling it what it is: bullshit.
  61.  
  62. I don't fully understand what are you calling "bullshit". The fact that
  63. shrink-wrapped software is occasionally, (but very rarely) found to be
  64. infected ? 
  65.  
  66. Now, about the BBSes..
  67.  
  68. >But I _have_ heard some interesting stories about how some of them 
  69. >went about getting sudden hoards of initial "samples" and/or 
  70. >restocking their supplies.
  71.  
  72. Well, the sad fact is that not all people are reliable.  Respectable
  73. producers are careful regarding who they give viruses to, but there are
  74. exceptions.  Of course, things were a lot more relaxed a few years ago -
  75. I started my own virus collection (now containing around 2000 viruses) simply
  76. by writing to one vendor and asking for samples...I received most of the 20
  77. viruses that were known at that time.
  78.  
  79. The Vx BBSes are a problem - isolated "leaks" of viruses from members of
  80. the anti-virus community have happened (too frequently) in the past, 
  81. but it was not until the BBSes started that they started to accumulate.
  82.  
  83. Now it seems that anybody can get hundreds of different viruses from the
  84. various Vx BBSes - unfortunately very little can be done about it, as they
  85. do not seem to be breaking any laws.
  86.  
  87. >Many of the viruses in the collections
  88. >of the virus exchange BBSs are so called "research viruses", given 
  89. >by their authors to one antivirus vendor or another. Some of them 
  90. >have been secretely "marked" with special strings encrypted within 
  91. >their code.  All of a sudden, they show up on one of those virus-
  92. >exchange BBSs, still carrying the encrypted name of the antivirus 
  93. >vendor they were made for!
  94.  
  95. True, this has happened.  The reason is of course that the researcher gives
  96. the samples to another researcher (with only a few exceptions, the anti-virus
  97. vendors exchange their virus collections quire freely), who gives it to
  98. another, and so on...until the viruses finally end up in the hands of somebody
  99. non-trustworthy.
  100.  
  101. Many of the vendors are cooperating to do something about this, because too
  102. many viruses floating around will lead to more new viruses being created,
  103. and contrary to what some people seem to think, anti-virus vendors do not
  104. benefit (financially or otherwise) from a flood of new viruses.
  105.  
  106. -- 
  107. --
  108. Fridrik Skulason      Frisk Software International     phone: +354-1-694749
  109. Author of F-PROT      E-mail: frisk@complex.is         fax:   +354-1-28801
  110.