home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4963 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  3.9 KB
  1. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: fc@turing.duq.edu (Fred Cohen)
  3. Newsgroups: comp.virus
  4. Subject: Re: on the definition of virus
  5. Message-ID: <0008.9301221631.AA12947@barnabas.cert.org>
  6. Date: 14 Jan 93 22:54:31 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 76
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11.  
  12.     In a recent virus-l, someone wrote that they liked Alan Solomon's
  13. redefinition of a `real virus' as `a program that replicates without the
  14. user's awareness and cooperation' (p602 V11N7 Computers and Security).
  15.  
  16.     There are some minor problems with this definition that I would
  17. like to point out.
  18.  
  19. 1) If a user is aware of the `Brain' virus on a floppy disk, and inserts
  20. it anyway and boots, it is a virus? According to Solomon's definition it
  21. is NOT a virus because the person was:
  22.  
  23.     a) aware
  24.     b) cooperative
  25.  
  26.     HOWEVER - If another user does exactly the same thing without
  27. knowing that the disk contains a virus, then it IS a virus!
  28.  
  29.     My problem is that I now have to assess the state of mind of the
  30. user to determine whether the thing we call `Brain' is a `real virus' or
  31. not.  We know for certain that it is a `virus', but whether it is a
  32. `real virus' changes as the user's awareness level changes.  Careful -
  33. if you go to sleep - it's a `real virus' - but don't worry - when you
  34. wake up it isn't.
  35.  
  36.     How about in a multiuser environment? The same sequence of bytes
  37. is both a `real virus' and not a `real virus' because one user is aware
  38. that it replicates and another is not. If `backup' a `real virus'?  It
  39. was a few days ago, but now that you are all aware that it is a `virus',
  40. it is no longer a `real virus' for you.
  41.  
  42.     What about fully automated systems, where there are no `users',
  43. EVERY replicating program is a virus, because there is no user
  44. awareness.
  45.  
  46.     How about designer awareness? Administrator awareness? I guess
  47. that my maintenance viruses are `real viruses' because the users aren't
  48. aware of them.  Even if I tell them about the viruses - they are still
  49. `real viruses' because the users don't have to explicitly cooperate in
  50. order for the maintenance to take place.  So I guess we can have benevolent
  51. `real viruses' as well.
  52.  
  53.     What is all this leading to? The environmental factor that
  54. determines what meets Solomon's definition of Solomon's `real virus' has
  55. to do with the state of mind of the `user'.  That means that there is no
  56. objective test to determine whether or not something is a virus because
  57. two different observers could draw completely different conclusions and
  58. both be right.
  59.  
  60.     Solomon then goes on to state that ``useful (antivirus software)
  61. differentiates between (`real viruses') and non(`real viruses')''!!! But
  62. this means that useful anti-virus software can differentiate between the
  63. states of mind of different users! Fantastic!!!  It read's your mind,
  64. and only warns you if you aren't already aware or you aren't cooperating!
  65. Of course, in testing, it never tells you about a virus, because there
  66. are no `real viruses' in a test - after all, you know about the test and
  67. you are cooperating.
  68.  
  69.     HUMOR ON!!! (I wouldn't want to offend anyone's sensibility)
  70.  
  71.     Is that why Solomon's toolkit does so poorly in tests? (NOTE
  72. Solomon's toolkit is really quite good at detecting known viruses - even
  73. in tests).  We must conclude from this that Solomon's antivirus products
  74. are not useful - by his own claims.  But I think he wants us to believe
  75. that they are useful, so I am anxious to find out how they detect the
  76. state-of-mind of the user.  ...  Sorry - they don't do that yet.
  77.  
  78.     HUMOR OFF!!
  79.  
  80.     Maybe Solomon's product is very good - but his definition isn't.
  81.  
  82. __________________________________________________________________________
  83. 8:30AM-2PM Eastern        Protection        2PM-8:30PM Eastern
  84. US+412-422-4134             Experts           US+907-344-5164
  85.     FAX US+412-422-4135 -OR- 907-344-3069 24 hours - 7 days
  86. __________________________________________________________________________
  87.