home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / pc / virus / virus101.004 < prev    next >
Encoding:
Internet Message Format  |  2003-06-11  |  4.8 KB
  1. From: woodside@ttidca.TTI.COM (George Woodside)
  2. Newsgroups: comp.sys.atari.st
  3. Subject: Virus 101: Chapter 4
  4. Date: 21 Mar 89 13:40:56 GMT
  5.  
  6. Having discussed the way viruses work, spread, and can be deterred, the
  7. only remaining topic is how to recognize when an attack occurrs. It is not
  8. always as simple, or as straightforward, as it may seem. What may appear to
  9. be a hardware problem may be a virus, and vice-versa.
  10.  
  11. There is no absolute way to determine if a given symptom is being caused by
  12. a program error, a hardware error, a virus, or something else. Not all
  13. viruses cause destructive attacks, but those that do are usually devastating.
  14.  
  15. When files start vanishing or becoming unreadable, it may be due to any of
  16. several reasons. Poor media, or abuse of media is not uncommon. A dirty disk
  17. drive head, or one drifting out of alignment can cause previously reliable 
  18. disks to start producing errors. In the ST, there is the age old problem of
  19. chip sockets and poor contact, and early versions of the ST had some component
  20. reliability problems which could contribute to disk errors. Another source
  21. becoming more frequent is the use of extended capacity disk formats, some of
  22. which are not entirely reliable. There is also the potential of a real hardware
  23. failure in the ST, or the drive. Finally there is the potential of a virus
  24. attack. How do you tell? It's very difficult. 
  25.  
  26. Actually, the virus is the easiest to detect. Use your favorite virus detect
  27. program, and start searching. If you can't locate one, then you problem could
  28. be any from the list above. If you find one, you must be certain you have taken
  29. every step available to you to insure it has been eradicated before accessing
  30. your backups.
  31.  
  32. When the virus does not destroy files, what does it do? It's rather like
  33. the age old "Where does a 600 pound gorilla sit?". Most anyhere he wants,
  34. obviously. A virus can do most anything that any other piece of software can
  35. do. The bigger the code segment of the virus, the more capable it can become.
  36. There are some rather surprising things accomplished by the viruses already
  37. found in boot sectors, when you consider that it has to accomplish its own
  38. loading, spreading, and eventual attack in about 120 instructions. 
  39.  
  40. Some of the viruses currently spreading do nothing more than mess up the screen
  41. display. When such an event occurs, it is not obvious that it is a virus
  42. attack. It could be a momentary power fluctuation, a software bug of some
  43. kind in the executing application, an intermittent hardware error, or any
  44. of several other causes. The only hope of identifying the source as a virus
  45. is, again, a methodic check of your disk library. 
  46.  
  47. Familiarity with the appearance of the attacks of known viruses would be 
  48. helpful in recognizing when one is present. For that purpose, I have provided
  49. the program "FLU". It is a demonstration program. It does not contain any of
  50. the code present in any virus for the installation of the virus, or the
  51. spreading of the virus. What it does contain is the non-destructive attack 
  52. code of several viruses. These attacks are either audio or visual, so that
  53. there is evidence of the attack occurring. There is no simulation of any of
  54. the virus attacks which cause damage to disk data, since there is no way
  55. to recognize when such an attack is occurring (and, of course, the purpose
  56. of the program is to aid in recognizing the symptoms, not to destroy disks!).
  57.  
  58. "FLU" is absolutely safe. The program can be viewed as a simple novelty,
  59. which does some strange display alterations. But by running it, and becoming
  60. familiar with the symptoms it displays, you will be capable of recognizing
  61. the characteristics of the attack of several current ST viruses. 
  62.  
  63. Two of the simulations, the "BLOT" virus and the "SCREEN" virus, attack in
  64. a nearly identical manner. They step on a small portion of the screen. When
  65. speeded up to display the symptoms, they have the appearance of drawing lines
  66. from the top and bottom of the screen. However, when the attack occurs at the
  67. speed at which the virus really operates, the attack would appear more like
  68. a small blot appearing on the screen, since the screen would have most likely
  69. been altered or redrawn by the application program between virus attacks.
  70.  
  71. The "FREEZE" virus is probably the most difficult of the non-destructive
  72. viruses to recognize, since it is the most subtle. It takes over the
  73. ST for an ever increasing period of time, causing a gradual slowing the 
  74. machine. Again, the demonstration runs at a significantly higher speed than
  75. the real virus.
  76.  
  77. This concludes the virus discussions. It has been the goal of these postings
  78. to inform the general public of the way viruses spread, attack, and can be
  79. dealt with. It is clear to me that, as a defense, ignorance has been 
  80. unsuccessful.
  81.  
  82. -- 
  83. *George R. Woodside - Citicorp/TTI - Santa Monica, CA 
  84. *Path:       ..!{philabs|csun|psivax}!ttidca!woodside
  85.  
  86.