home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 2 / HACKER2.BIN / 302.CRPTLT.R12 < prev    next >
Text File  |  1993-01-30  |  62KB  |  1,224 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.       ▄▄▄ ▄▄▄▄▄▄▄▄   ▄▄▄ ▄▄▄▄▄▄    ▄▄       ▄▄   ▄▄▄ ▄▄▄▄▄    ▄▄▄▄▄▄▄ ▄▄▄▄▄
  7.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█ █▒▒▒▒▒█  █▒▒█     █▒▒█ █▒▒█ █▒▒▒▒█  █▒▒▒▒▒▒█ █▒▒▒▒█
  8.      █▒▒█ ▀▀▀▀▀▀▀▀  █▒▒█ ▀▀▀▀█▒▒█  █▒▒█   █▒▒█  █▒▒█ ▀▀▀█▒▒█  ▀▀▀█▒▒█ ▀▀▀▀▀
  9.      █▒▒█           █▒▒█ ▄▄▄▄█▒▒█   █▒▒█ █▒▒█   █▒▒█ ▄▄▄█▒▒█     █▒▒█
  10.      █▒▒█           █▒▒█ █▒▒▒▒▒█     ▀▀ █▒▒█    █▒▒█ █▒▒▒▒█      █▒▒█
  11.      █▒▒█           █▒▒█ ▀▀▀▀█▒▒█      █▒▒█     █▒▒█ ▀▀▀▀▀       █▒▒█
  12.      █▒▒█ ▄▄▄▄▄▄▄▄  █▒▒█      █▒▒█     █▒▒█     █▒▒█             █▒▒█
  13.      █▒▒█ █▒▒▒▒▒▒▒█ █▒▒█       █▒▒█    █▒▒█     █▒▒█             █▒▒█
  14.       ▀▀▀ ▀▀▀▀▀▀▀▀   ▀▀▀        ▀▀      ▀▀       ▀▀▀              ▀▀
  15.       
  16.                              NEWSLETTER NUMBER 12
  17.       **********************************************************************
  18.       Another festive, info-glutted, tongue-in-cheek training manual
  19.       provided solely for the entertainment of the virus programmer,
  20.       security specialist, casual home/business user or PC hobbyist 
  21.       interested in the particulars - technical or otherwise - of 
  22.       cybernetic data replication and/or mutilation. Jargon free, too.
  23.                     EDITED BY URNST KOUCH, January - February 1993
  24.                        CRYPT INFOSYSTEMS BBS - 215.868.1823 
  25.       **********************************************************************
  26.  
  27.       TOP QUOTE: "We live in cheap and twisted times."
  28.                          --Hunter S. Thompson, "Songs of The Doomed," 
  29.                            1990.
  30.       
  31.       -------------------------------------------------------------------
  32.       IN THIS ISSUE:  NEWS . . . Anti-anti-virus virus's revisited:
  33.       the LOCKJAW series, quick analysis of the SANDRA virus . . . IN 
  34.       THE READING ROOM: critique of various articles; review of 
  35.       MONDO 2000 annual; VIRUS: The comic book! . . . return to 
  36.       MICHELANGELO virus: an appraisal of the media's mishandling of the 
  37.       March 1992 affair and software vendor collusion . . . sophisticated,
  38.       but warped, humor . . . and the usual potpourri of material.
  39.       **********************************************************************
  40.  
  41.       ********************************************************************
  42.       MICHELANGELO HYPE REVISITED: A SKEPTIC'S VIEW 
  43.       ********************************************************************
  44.  
  45.       Just about a year ago the media exploded with weird stories of
  46.       impending catastrophe at the hands of a mysterious computer program.
  47.       Thrown a newsprint and TV body-block by techno-impaired editors and 
  48.       reporters lacking even the sense to pour piss from a boot, the world 
  49.       reeled. But the sky refused to fall and in the best tradition of 
  50.       "calendar" journalism, the Crypt Newsletter has received permission 
  51.       to reprint a critique of the events surrounding March 6, 1992. 
  52.       
  53.      "THE LITTLE VIRUS THAT DIDN'T: The press couldn't get enough
  54.      of Michelangelo.  But did it fall prey or save the day?"
  55.  
  56.      Republished from the Washington Journalism Review, May 1992.
  57.  
  58.      The great Michelangelo computer virus scare of 1992 has proved to be
  59.      another classic example of Chicken Little journalism -- or the 
  60.      Reporters Who Cried Wolf, depending on your tast in fairy tales.
  61.  
  62.      At first glance, the story was a sexy one.  The virus had an
  63.      instantly recognizable name.  It was attached to a specific date --
  64.      March 6 --an attractive hook for editors with a penchant for calendar
  65.  
  66.                                   Page 1  
  67.  
  68.      journalism.  It was simple: On the birthday of its namesake, the virus
  69.      would destroy data within the computers it had infiltrated through
  70.      infected disks.  And it boasted big numbers:  By one estimate, as many
  71.      as 5 million IBM and IBM-compatible computers worldwide were going
  72.      to be victims of Michelangelo, a relatively small computer code written
  73.      and unleashed by an anonymous, devious programmer.
  74.  
  75.      Newspapers around the country ran headlines warning of imminent
  76.      disaster. "Thousands of PC's could crash Friday," said USA Today.
  77.      "Deadly Virus Set to Wreak Havoc Tomorrow," said the Washington Post.
  78.      "Paint It Scary," said the Los Angeles Times.
  79.  
  80.      Weeks after M-day, many antiviral software vendors and some reporters
  81.      still insist the coverage prevented thousands of computers from
  82.      losing data.  John Schneidawind of USA Today says "everyone's PC's
  83.      would have crashed" had the media not paid much attention to 
  84.      Michelangelo.
  85.  
  86.      The San Jose Mercury News credited the publicity with saving the day.
  87.      One widely quoted antiviral vendor, John McAfee of McAfee Associates,
  88.      says the press deserves a medal.
  89.  
  90.      In reality, many of the predictions were suspect.  Those making them,
  91.      often computer security product vendors or closely related industry
  92.      associations, usually stood to profit from the widespread coverage.
  93.      And many reporters bit hard.
  94.  
  95.      One vendor who played a key role was McAfee, one of the nation's
  96.      leading antiviral software manufacturers and founder and chairman
  97.      of the nonprofit Computer Virus Industry Association (CVIA). It was
  98.      McAfee who told many reporters that as many as 5 million computers
  99.      were at risk.  He says he made the projection based on a study
  100.      that the virus had infected 15 percent of computers at 600 sites.
  101.      Both Reuters and the Associated Press sent the figure around the world.
  102.  
  103.      McAfee says he didn't present it the way it was reported.  "I told 
  104.      reporters all along that estimates ranged from 50,000 to 5 million,"
  105.      he says. "I said, '50,000 to 5 million, take your pick,' and they 
  106.      did."
  107.  
  108.      But researcher Charles Rutstein of the International Computer
  109.      Security Association (ICSA), a for profit consulting group,
  110.      says even 50,000 was an exaggeration. Also widely quoted,
  111.      Rutstein says he told reporters early on to expect no more than
  112.      10,000 computers infected worldwide.  (There are more than 35 million
  113.      computers in the United States alone, according to some estimates.)
  114.      "Five million is just ridiculous, but the press believed it because
  115.      they had no reason not to," Rutstein says now.  "McAfee seems
  116.      credible."  (McAfee responds that the ICSA and other critics are
  117.      "fringe groups.")
  118.  
  119.      While many articles failed to disclose or merely mentioned in passing
  120.      that McAfee's antiviral software has sold more than 7 million copies
  121.      of its Viruscan and expects revenues of more than $20 million this year,
  122.      McAfee scoffs at the idea that he or other vendors hyped the threat
  123.      to generate sales.  "I never contacted a single reporter, I never sent
  124.      out a press release, I never wrote any articles," he says.  "I was just 
  125.      sitting here doing my job and people started calling."  He maintains 
  126.      that the coverage of Michelangelo cost him money. "It was the
  127.      worst thing for our business, short-term," he says.  "We offer
  128.      shareware [where users are trusted to pay], so we got tons of calls
  129.      from non-paying customers.
  130.  
  131.                                      Page 2
  132.  
  133.  
  134.      "Before the media starts to crucify the antivirus community," he
  135.      continues, "they should look in the mirror and see how much [of the
  136.      coverage] came from their desire to make it a good story." But
  137.      he adds quickly, "Not that I'm a press-basher."
  138.  
  139.      Schneidawind's and AP's efforts after March 6 to track Michelangelo
  140.      found only a few thousand afflicted computers worldwide, including
  141.      2,400 erroneously reported to be at the New Jersey Institute of
  142.      Technology.  The institute actually had only 400 computers infected
  143.      with any virus; few had Michelangelo.  A Philadelphia Inquirer
  144.      reporter got it wrong, says institute spokeman Paul Hassen, and it
  145.      spread quickly.  "That was the first time I've been that close to
  146.      a feeding frenzy," he says.  Perhaps the most embarrassed news
  147.      organization was CNN, which on March 6 staked out McAfee's offices
  148.      in Santa Clara, California, waiting for a doomsday that never
  149.      came.
  150.  
  151.      Soon after the clock struck midnight on March 6, may reporters
  152.      seemed to suspect they'd been had.  The Los Angeles Times, which
  153.      had quoted McAfee's 5 million figure on March 4, carried a
  154.      Reuters story three days later that reported the "Black Death"
  155.      had turned out to be little more than "a common cold."
  156.      AP downgraded its "mugger hiding in the closet" to a mere "electronic
  157.      prank."
  158.  
  159.      AP Deputy Business Editor Rick Gladstone says the wire service
  160.      quickly downplayed the story after its initial reports and included
  161.      comments from the ICSA's Rutstein, who said the threat from the
  162.      virus had been exaggerated.  "Our big oversight was to quote
  163.      McAfee's 5 million figure in the beginning of the coverage but we
  164.      backed off that," Gladstone says, adding that his staff "felt
  165.      somewhat vindicated" when relatively few computers were affected on
  166.      March 6. "Some of us in the press were suckered," he says.
  167.  
  168.      Schneidawind doesn't feel he was.  "We went into this with our
  169.      eyes open," he says.  But on March 9, in an article entitled
  170.      "Computer virus more fright than might" (the subhead was a
  171.      more confident "Michelangelo kept at bay by early detection"),
  172.      the USA Today reporter chronicled his frustrations tracking the
  173.      virus.  He reported that he had asked Rutstein and McAfee, again
  174.      identified as the CVIA chairman, to provide a working sample
  175.      of Michelangelo.  Both declined.  "It'd be like giving him a
  176.      biological virus because he wanted to play with it," McAfee says.
  177.      McAfee was also "reluctant to divulge the names of companies 
  178.      struck by the virus" according to Reuters.
  179.  
  180.      McAfee now estimates that only 10,000 systems were stricken
  181.      worldwide on March 6, a number he says he derived by counting the
  182.      number of calls he received from victims and guessing that they
  183.      estimated 5 percent of the total.  But he insists the numbers
  184.      aren't as important as "the scope of the problem," which, he says
  185.      the press largely ignored. "For the first time, you had large
  186.      well-respected companies shipping the virus with their new computers
  187.      and software.  How did it filter into secure environments like
  188.      that?"
  189.  
  190.      Schneidawind agrees.  "The estimates may have been overblown,
  191.      but no one new for sure until the 6th," he says.  "Consider the
  192.      BCCI scandal, where everyone faulted the press for not being there.
  193.      I'd rather err on the side of caution."
  194.  
  195.  
  196.                                      Page 3
  197.  
  198.      Schneidawind didn't seem to do that in a sidebar to his March 9 article
  199.      in which he listed other computer pests poised to strike in March.
  200.      Supplied by yet another antiviral software vendor, the list did not
  201.      reveal that most of the bugs were either variants of the same
  202.      root virus -- known as "Jerusalem" -- or rare species found only
  203.      in eastern Europe.  Like many others the story did not make clear
  204.      that every week of the year is filled with trigger dates for
  205.      numerous viruses.  (Or that user mistakes destroy more data than
  206.      viruses do.) More importantly, only a handful of some
  207.      1,000 worldwide viruses are common enough that a user may
  208.      occasionally encounter one.  Of those, most only display silly
  209.      messages or compel the computer to play a tune.
  210.  
  211.      On March 6, Michael Rogers and Bob Cohn of Newsweek offered a post
  212.      mortem to Michelangelo that warned readers to "beware the next round
  213.      of computer viruses," including the Maltese Amoeba and "the scariest
  214.      new virus . . . the Mutation Engine."  What they and others such as
  215.      Ted Koppel of ABC's Nightline and John Fried and Michael Rozansky
  216.      of the Philadelphia Inquirer failed to say was that the Maltese Amoeba
  217.      had only been active in Ireland.  Moreover, the Mutation Engine isn't
  218.      a virus at all, but a user-friendly encryption tool that virus-writers
  219.      use to disguise their creations.
  220.  
  221.      To their credit, neither The New York Times nor The Wall Street Journal
  222.      gave much credence to Michelangelo.  John Markoff of the Times in
  223.      particular provided restrained, intelligent coverage that virtually 
  224.      ignored McAfee and other antivirus vendors.  And The Journal's Walter
  225.      Mossberg wrote a "Personal Technology" column that realistically 
  226.      appraised the viral threat as minimal.
  227.  
  228.      Unfortunately, the hype over Michelangelo could cause wary journalists
  229.      to ignore more prevalent destructive viruses that could occur in
  230.      the future.  It will cause more of the rogue programs to be
  231.      circulated, if only because their creators love the
  232.      attention.  For some soul, the coverage given to
  233.      Michelangelo must have provided quite an adrenalin rush. It certainly
  234.      did for the press.
  235.      ---------------------------------------------------------------------
  236.      As for a look back a year later:
  237.      
  238.  
  239.        1. Whatever happened to the Maltese Amoeba? The answer:
  240.        Who cares?
  241.  
  242.        2. Where is the sound of PC's crashing in 1993 to the tune 
  243.        of the "scariest new virus . . . the Mutation Engine"?
  244.  
  245.      *****************************************************************
  246.      MODEL ANTI-VIRUS AUTHOR LEGISLATION PRESSED INTO THE
  247.      HANDS OF THE CRYPT NEWSLETTER:  PETER TIPPETT HAS
  248.      COMPANY NAME ATTACHED TO RISIBLE DRIVEL
  249.      *****************************************************************
  250.  
  251.  
  252.      Recently we've had the time to look over a back issue of
  253.      Virus News and Reviews which contained some "model"
  254.      legislation designed for the express purpose of combating 
  255.      computer viruses. Devised by Peter Tippett of Certus International,
  256.      the document makes clear that it was written to impress people 
  257.      ignorant of computers in even the most general sense. It 
  258.      propagates the idiotic notion that writing viruses is some kind 
  259.      of specialized skill, or "art" as Tippett puts it, and by 
  260.  
  261.                                      Page 4
  262.  
  263.      regulating individuals expert in the "art," the computer virus 
  264.      problem can be solved.
  265.  
  266.      For example, an excerpt from Tippett's "model" in Virus News
  267.      and Reviews (July 1992):
  268.      
  269.      "A computer virus may only be created or modified, but never sold,
  270.      distributed, or allowed to be distributed, for bonafide research
  271.      purposes, and then only under the following circumstances:
  272.  
  273.  
  274.      "1. The virus is created for a legitimate, localized research
  275.      purpose;
  276.  
  277.  
  278.      "2. Strict provisions are made to always contain the virus within
  279.      the expressed domain of its author/researcher and to not allow the
  280.      virus to replicate or otherwise move to any media or computing
  281.      system outside of the author's/researcher's direct control;
  282.  
  283.      "3. At least five days before any computer virus is created or
  284.      modified under this sub-part, the intent to create or modify a
  285.      computer virus must be publicly announced by its intended author in
  286.      at least three publicly available publications, each with a
  287.      circulation of at least 100,000. The announcement will contain at
  288.      least: 
  289.      1)  the name, company, title, address and telephone number of the
  290.      responsible party, 
  291.      2) the name, company, title, address and telephone number of the
  292.      computer virus author, if different than the responsible party, 
  293.      3) the address and location of the intended research, 
  294.      4) the start date and intended finish date of the intended
  295.      research, and 
  296.      5) the expressed intent to create or modify a computer virus.
  297.  
  298.  
  299.      "4. The research or study virus, or virus modification must contain
  300.      within its own code, and in a form that survives replication to all
  301.      progeny of the parent virus, the name of the responsible party and
  302.      other information sufficient for anyone of average skill in the art
  303.      to reliably discover."
  304.  
  305.      Point 1 calls for the formation of a judging group which will appraise
  306.      virus research as worthy of license.  To this day, no such group 
  307.      exists in any field of scientific (professional or non-professional)
  308.      endeavor, at least not in the way envisioned by Tippett's model
  309.      legislation.  The closest things to this are government research and
  310.      granting agencies like the National Science Foundation.  But,
  311.      while the NSF doesn't have to grant money for research it 
  312.      feels inexpert or uninteresting, it has no power to make it taboo. 
  313.      (It can create an environment where certain avenues of research 
  314.      are seen as "unfundable." This can be crippling in some fields, 
  315.      but not in this case where just about anyone with a couple
  316.      PC's, a modem and a real desire to work can set up shop.)
  317.      Tippett's legislation would be a first in this regard.  We think this 
  318.      is a laughable assumption that shows a typical businessman's lack of 
  319.      knowledge about how the critical pursuit of information  
  320.      proceeds in any field. (In an aside: Tippett's writing brings 
  321.      to mind Robert X. Cringely's assessment of Lotus Development's 
  322.      Jim Manzi as an American businessman who shuns PC's, hates using 
  323.      them and considers researchers and technical people "dickheads.")
  324.  
  325.  
  326.                                      Page 5
  327.  
  328.      In Point 3, Tippett requires publication notice for virus creation.
  329.      This is an unenforceable bureaucratic requirement which would be 
  330.      unlikely to be taken seriously even by people working in a 
  331.      "legitimized" environment. 
  332.  
  333.      As for Point 4: Many virus authors and researchers already put plenty
  334.      of identification in their creations.  This hasn't changed anything
  335.      nor does it prevent people from erasing or altering such identification
  336.      at whim. This point serves no obvious purpose and, in our opinion, 
  337.      is legally meaningless. 
  338.      
  339.      The remainder of Tippett's "model" is similarly uninformed as to the
  340.      reality of virus construction and distribution, embarrassing when  
  341.      one considers that he's published in Virus News and Review. But
  342.      perhaps this is intentional, since the facts are difficult to 
  343.      adequately describe in a mere one-page letter. As a "paper" or 
  344.      proposal in any college course worth its salt, Tippetts' submission
  345.      would gain a solid F.  But for congressional legitimacy, if that's 
  346.      its aim, excellence is not a requirement. Maybe Peter Tippett 
  347.      is a lot smarter than we think.
  348.      
  349.      **********************************************************************
  350.      
  351.      IN THE READING ROOM:  VIRUS - THE COMIC BOOK!
  352.      ********************************************************************
  353.  
  354.      It had to happen.  There have been sci-fi and techno-thrillers
  355.      about viruses, so WHY NOT a comic book?
  356.  
  357.      You'd expect this to be strange, but so what! Aren't a lot of 
  358.      comics? Why should "Virus,"  published by Dark Horse, be
  359.      an exception?
  360.  
  361.      But first, a little background.  Dark Horse has made its name
  362.      by peddling an endless flood of titles devoted to squeezing 
  363.      the last drop of greenish ichor from movies like "Alien" and 
  364.      "Predator." That philosophy ensures just about anything it 
  365.      prints is a big hit, selling out immediately in the kinds of comic 
  366.      stores run by tubercular, ex-artfags with an intense dislike 
  367.      for patrons who don't reserve at least ten new titles each
  368.      month.
  369.  
  370.      You'd imagine, then, that a copy of "Virus" was tough for 
  371.      The Crypt Newsletter to find. It was. And if not for alert reader 
  372.      Captain AeroSmith who shipped one air-freight from Cleveland, we 
  373.      might not have seen it at all.
  374.  
  375.      That said, the first issue of "Virus" wasn't bad.  Fair art, good
  376.      dialogue and a story that revolves around an abandoned Chinese
  377.      radar and telemetry ship that comes under the power of some
  378.      inter-cosmic computer virus that has beamed down into its radio
  379.      antenna and set up shop in the mainframe.  The original crew is
  380.      butchered, necessitating the trapping of some ocean-wandering riff-raff
  381.      who think they're going to appropriate the boat for lots of cash
  382.      money. "Virus" nixes this plan at once by ripping the 
  383.      breast-bone out of one of the thieves with the aid of a 
  384.      computer-controlled winch.
  385.  
  386.      "Aaaiiieeee!" screech the trapped sailors. They want out, but not 
  387.      before being attacked by something that looks like a cross between 
  388.      a kite and a flying pipe-wrench made from sails and human integuement.
  389.      What does this have to do with viruses or the computer
  390.  
  391.                                      Page 6
  392.  
  393.      underground? Who knows! "Virus" is cracked, but I guarantee you'll 
  394.      be negotiating with your local dealer for the next issue.  
  395.      *******************************************************************
  396.  
  397.      IN THE READING ROOM II:  MONDO 2000 - A User's Guide To The
  398.      New Edge by R. U. Sirius, Queen Mu and Rudy Rucker (HaperPerennial)
  399.      *******************************************************************
  400.  
  401.         "Thanks for a country where no one's allowed to mind their
  402.         own business . . . Thanks for a nation of finks." 
  403.                  --William S. Burroughs in "Mondo 2000"
  404.  
  405.      I'm no expert on the "cyberpunk" magazine, but MONDO 2000 -
  406.      the book - squeezed a smirk out of me when the William Burroughs 
  407.      quote cropped up amidst non sequiturs and chapters on pranking the 
  408.      media and "smart" drugs.  That the wizened author of "Naked Lunch" is 
  409.      now a center piece in such an effort surely has some kind of 
  410.      quantum significance. So, know that MONDO 2000 is the literary 
  411.      equivalent of a Ren & Stimpy cartoon: stretches of intense 
  412.      flatulence punctuated by flashes of brilliance and dumb cunning.
  413.      [Much like the Crypt Newsletter, perhaps.]
  414.      
  415.      For instance, the chapters on "smart" drugs and tarantulas (?!)
  416.      are patent nonsense.  The "smart" drug idea comes from that
  417.      small segment of the populace who've accidentally rediscovered 
  418.      how absorbing a read the Physician's Desk Reference is when your mind
  419.      has that "roasted" character that comes from too many simultaneous 
  420.      hits of caffeine and unfiltered Camels. Tarantulas, Queen Mu says, 
  421.      are deadly, too. (I knew it, I knew there had to be a reason they 
  422.      sell the ugly things to any schnook who goes into a pet store!)
  423.  
  424.      If you can overlook stuff like that, MONDO 2000 is hep.  
  425.      Rudy Rucker's introductory essay, for one thing, is inspirational.
  426.      And there's plenty of weird computer jokes, BBS's to call, 
  427.      summaries of all the important stuff that's gone down in "cyberspace" 
  428.      in the past ten years - in other words, MONDO 2000's a good book for 
  429.      the coffee table. It will impress your friends, I bet.
  430.      
  431.      ********************************************************************
  432.      QUICK AND DIRTY DISASSEMBLY OF VIRUS CODE: THE SANDRA VIRUS - 
  433.      AN ENCRYPTED ANTI-ANTI-VIRUS VIRUS SPILLS ITS SECRETS TO ANY
  434.      LAYMAN
  435.      *******************************************************************
  436.      This month, two articles crossed Crypt Newsletter desks that painted 
  437.      the picture that virus disassembly is a job best left to the experts.
  438.      It is a common myth - a nuts, self-serving statement propagated by 
  439.      greedheads who WANT you to think that you are a helpless schnook.  
  440.      In reality, anyone who works seriously with viruses knows that in 
  441.      90% all cases, virus disassembly is about a 5-minute job, tops.
  442.  
  443.      As an illustration, the Crypt Newsletter will walk you through
  444.      a quick and dirty dissection of the SANDRA virus using only
  445.      two tools: the shareware ZanySoft debugger and the retail Sourcer
  446.      commenting disassembler programs.
  447.  
  448.      Since the Sandra virus came into this country as a "naked" file, there
  449.      is little need to instruct you in how to execute the
  450.      virus onto a clean, small, workable "host."  Since no virus researcher
  451.      had to do it, we will presume, in this case, that you won't have 
  452.      to either. (And that leaves room for another chapter in this
  453.      story in the next issue.)
  454.  
  455.  
  456.                                      Page 7
  457.  
  458.      The first step is a no-brainer.  Fire up Sourcer with the following
  459.      command line (this presumes you have created the SANDRA virus from
  460.      the DEBUG script supplied with the Crypt Newsletter):
  461.  
  462.                  C>SR SANDRA.COM
  463.  
  464.      This will load SANDRA into Sourcer and bring up the disassembler's
  465.      menu. The Sourcer defaults will suffice, so hit "G" for GO.
  466.      In less than 15 seconds Sourcer will have coughed out a file
  467.      called SANDRA.LST.  Take a look at it. By the black-coated
  468.      turd from Jesus's arse! What gibberish. You'll see that SANDRA 
  469.      appears to be a small segment of cryptic assembly code instructions, 
  470.      then some words that almost look like English and quite an oodle of 
  471.      hexadecimal values arrayed in columnar "define byte" (or "db") 
  472.      format.
  473.  
  474.      This immediately tells the experienced that SANDRA is
  475.      encrypted, and rather weirdly at that. (If SANDRA had been unencrypted,
  476.      your job would be finished. The virus would be laid out in front
  477.      of you.)
  478.  
  479.      The next step, then, is to trick the virus into decrypting itself
  480.      and then writing the "plain text" version to disk.  This is simple
  481.      in theory, only slightly more difficult in practice.  Envision that
  482.      the portion of the virus you want to execute is the decryptor
  483.      loop, a small stretch of instructions which will unscramble the
  484.      virus in memory. Might not that segment of cryptic assembly gobble
  485.      that Sourcer produced on its first pass contain the keys to
  486.      the decryptor? Yup, good guess.  And it looks like this:
  487.  
  488.  
  489.  
  490.         seg_a           segment byte public
  491.                         assume  cs:seg_a, ds:seg_a
  492.  
  493.  
  494.                           org     100h
  495.  
  496.                           sandra          proc    far
  497.  
  498.          3C44:0100                    start:
  499.          3C44:0100  F8                              clc                             ; Clear carry flag
  500.          3C44:0101  E8 002F                         call    sub_2   ; (0133)
  501.          3C44:0104  FB                              sti   ; Enable interrupts
  502.          3C44:0105  F8                              clc   ; Clear carry flag
  503.          3C44:0106  <--execute to this address     jmp     loc_6   ;*(027C)
  504.          3C44:0106  E9 73 01                        db      0E9h, 73h, 01h
  505.          3C44:0109  3C              data_3          db      3Ch                     ;  xref 3C44:013D
  506.          3C44:010A  00              data_4          db      0                       ;  xref 3C44:0149
  507.  
  508.          You notice that SANDRA starts by calling a sequence of instructions
  509.          dubbed "sub_2" by Sourcer.  Looking down the listing (which is
  510.          not included here) you see that "sub_2" is another segment of
  511.          plain-text assembly code.  This is the viral unscrambler and when
  512.          we have returned from it, the virus is ready to cook off.  The next
  513.          job for SANDRA, then, is to begin its work.  Looking at
  514.          the assembly commands above, you see SANDRA jumps (jmp) to a new
  515.          location, which looks encrypted in the listing you're
  516.          working on.
  517.  
  518.          The idea you want to use is that by executing the virus right
  519.          up to the "jmp,"  it's possible to get it to translate itself
  520.  
  521.                                      Page 8
  522.  
  523.          in memory without it looking for a file to infect, infecting that
  524.          file and re-garbling itself.  This is easy to do with any
  525.          debugger.  We'll use the ZanySoft product because it's  not
  526.          as intimidating as DOS's DEBUG to the novice user. In fact,
  527.          it is almost idiot-proof and requires little overhead on 
  528.          the part of anyone.
  529.  
  530.          Fire up the ZanySoft debugger by typing:
  531.            
  532.                  C>ZD86
  533.  
  534.         ZanySoft is menu driven.  Use its "File" drop-down menu to
  535.         load the virus.  Then bring down its "Run" menu and double-click
  536.         on the "go to xxxx:xxxx" command.  This tells ZanySoft to
  537.         execute the loaded program to a certain address - which it
  538.         will prompt you to supply -- and stop.  The address needed is 
  539.         the one corresponding to the "jmp" in the above listing. Sourcer 
  540.         has supplied it, and it is ear-marked in the diagram: 0106.
  541.  
  542.         Type in 0106 at ZanySoft's prompt and hit  <enter>.  The virus 
  543.         is decrypted.  Now, return to the "Files"
  544.         menu and select the option, "Write to .COM." Accept the
  545.         default value ZanySoft brings up and hit <enter> again.  The
  546.         virus has now been written to the disk from memory, and in
  547.         "plain-text" or unencrypted form.  Look at it under a file
  548.         viewer. Remember those words that looked like English?  Well,
  549.         now they ARE English.  You should see some gobble like "the
  550.         Nazg'l," "dedicated to Sandra H.", and "*.EXE," "*.COM," the
  551.         latter two giveaways that the virus hunts for these files.
  552.  
  553.         Load the unencrypted virus into Sourcer once again. Accept
  554.         the defaults and hit "Go".  Fifteen seconds later the
  555.         virus has been disassembled for you, only now it's almost
  556.         all assembly instructions.  Is this so mysterious?  Even
  557.         though you may know next to nothing about assembly, you can
  558.         still use the Sourcer listing to make some informed deductions
  559.         about the virus.
  560.  
  561.         Go to the bottom of the listing and look at the interrupt
  562.         usage synopsis. It looks like this:
  563.  
  564.         ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒ Interrupt Usage Synopsis ▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒▒
  565.            Interrupt 16h : Keyboard i/o  ah=function xxh
  566.            Interrupt 20h : DOS program terminate
  567.            Interrupt 21h : DOS Services  ah=function xxh
  568.            Interrupt 21h :  ah=2Ch  get time, cx=hrs/min, dx=sec
  569.            Interrupt 21h :  ah=3Bh  set current dir, path @ ds:dx
  570.            Interrupt 21h :  ah=3Ch  create/truncate file @ ds:dx
  571.            Interrupt 21h :  ah=3Dh  open file, al=mode,name@ds:dx
  572.            Interrupt 21h :  ah=3Eh  close file, bx=file handle
  573.            Interrupt 21h :  ah=40h  write file  bx=file handle
  574.            Interrupt 21h :  ah=41h  delete file, name @ ds:dx
  575.            Interrupt 21h :  ax=4301h  set attrb cx, filename @ds:dx
  576.            Interrupt 21h :  ah=4Eh  find 1st filenam match @ds:dx
  577.            Interrupt 21h :  ah=4Fh  find next filename match
  578.            Interrupt 21h :  ax=5701h  set file date+time, bx=handle
  579.  
  580.         As you see, SANDRA has instructions for "find first filename
  581.         match", "find next filename match" and "set current directory,
  582.         path."  If you've seen this newsletter and its source listings
  583.         before, you might suspect that SANDRA is a direct-action
  584.         (or non-resident) virus. Coupled with the .COM/.EXE filemasks, 
  585.         that's a good, educated guess.
  586.  
  587.                                      Page 9
  588.  
  589.  
  590.         Like any virus, it has a "write to file" function. However, in
  591.         this case, cross-referencing your listing shows that SANDRA 
  592.         doesn't worry about adding itself to the end of the file during 
  593.         the write. This means SANDRA's an "overwriter." It's the simplest 
  594.         kind of infector, a feature exclusively the domain of primitive
  595.         direct-action viruses. And since it means that the virus
  596.         destroys everything it lands on, an instantly noticeable
  597.         stunt, it marks SANDRA as a trivial pest at best.
  598.  
  599.         Your eye might also be drawn to the "delete file" and
  600.         "truncate file" functions.  "Ah-ha!" you say having
  601.         a vague understanding about how sneaky viruses work.  
  602.         SANDRA deletes files corresponding to the list of plain-text 
  603.         filenames it carries around. And those file names are for 
  604.         anti-virus software programs!  SANDRA is an anti-anti-virus 
  605.         virus! Wow.
  606.  
  607.         Now you know enough to broadly characterize SANDRA as an
  608.         encrypted, over-writing virus that tries to delete a
  609.         raft of anti-virus programs. You might even be tempted
  610.         to run a test and execute SANDRA against some bait files.
  611.         If you do that on a typical American system, you'll find
  612.         another interesting feature at once.  A great many systems
  613.         now use WINDOWS, and that means they're set up with either
  614.         QEMM or MS-DOS's EMM386 as memory managers.  If SANDRA is
  615.         executed on any of these environments it will generate an
  616.         "exception" forcing a reboot of the machine.  
  617.         
  618.         Why is that, for cryin' out loud?  Actually, it's another
  619.         anti-anti-virus measure, although a back-handed one.
  620.         NEMESIS, a German memory resident anti-virus monitor
  621.         uses expanded memory to monitor a system at the sector
  622.         level.  Because of this, it requires the user to have
  623.         the requisite amount of expanded memory and the manager
  624.         for it: QEMM or EMM.  SANDRA seems to make the generous 
  625.         assumption that any machine using one of these might have
  626.         NEMESIS installed, and it forces a shutdown through EMM
  627.         to stop the infection and avoid potential detection.
  628.         Since SANDRA appears to be German, it is not unreasonable
  629.         that its author might be more concerned about NEMESIS
  630.         than anyone in the U.S., where the program is nonexistent.
  631.         In real terms, this feature makes SANDRA, at best,
  632.         a reluctant virus.  On many machines, it will just
  633.         flat out refuse to infect.
  634.  
  635.         By further combing over the code on breaks from hanging about
  636.         the water-cooler, you'll find that SANDRA deletes the
  637.         following data-integrity files from selected a-v software:
  638.  
  639.        - "ANTIVIR.DAT"
  640.        - "CHKLIST.CPS"    --Central Point AV
  641.        - "C:\CPAV\CHKLIST.CPS" --same as above
  642.        - "C:\NAV_._NO"         --Norton Antivirus
  643.        - "NOVIRCVR.CTS"
  644.        - "NOVIPERF.DAT"
  645.        - "C:\TOOLKIT\FSIZES.LST" --Solomon's Toolkit
  646.        - "C:\FSIZES.QCV"      --Solomon's Toolkit
  647.        - "C:\UNTOUCH\UT.UT1"  --Untouchable
  648.        - "C:\UNTOUCH\UT.UT2"  --Untouchable
  649.        - "C:\VS.VS"
  650.        - "C:\TBAV\VIRSCAN.DAT" --Thunderbyte, truncates file
  651.  
  652.                                      Page 10
  653.  
  654.        - "C:\)(.ID -- Integrity Master, I believe
  655.  
  656.        By now, you're very confident you can execute SANDRA without
  657.        hurting yourself. Actually, you could have done that after
  658.        a quick look at the interrupt synopsis. In any case, you're
  659.        still cautious so you install FLU-SHOT.  Haha! SANDRA
  660.        won't infect. And you've uncovered its last interesting
  661.        secret: it exits when FLU-SHOT or a couple of other
  662.        resident programs are present.
  663.  
  664.        This isn't the definitive book on SANDRA, but it's more than
  665.        enough for reasonable purposes.  After all, this IS the "quick and
  666.        dirty" guide to virus disassembly. And the rules here can be
  667.        applied to a full 90% of the viruses you might come across.
  668.        Sure, there can be the occasional bird with tricks in it
  669.        to make this kind of fast interpretation a thorny job.
  670.        But, chances are, you will never see one.
  671.  
  672.        So after a few more stabs at this with viruses from the
  673.        newsletter, your home collection, or wherever, you can sell 
  674.        yourself as an experienced hand at "quick & dirty" virus
  675.        disassembly. 
  676.        ****************************************************************
  677.        
  678.        ****************************************************************
  679.        THE LOKJAW PROGRAMS: MORE SIMPLE IMPLEMENTATIONS OF RETALIATING
  680.        ANTI-ANTI-VIRUS VIRUSES
  681.        ****************************************************************
  682.  
  683.        Intrigued by the Proto-T scam, virus writer Nikademus sent his
  684.        LOCKJAW program to the Crypt Newsletter for examination.  The
  685.        Nikademus LOCKJAW virus is a variant of "Proto-T," a resident
  686.        .COM infector originally derived from Civil War, altered to 
  687.        delete a series of anti-virus programs when they are executed. 
  688.        As an added fillip, the virus marks the deletion with an 
  689.        entertaining "chomping" graphic effect!
  690.  
  691.        The easiest way to soak this up is to head right for the assembly
  692.        listings included in this issue.  The actual file recognition 
  693.        and deletion routines can be adapted for many resident viruses.
  694.        As an example, the newsletter has transformed LOCKJAW into a
  695.        spawning .EXE-infecting virus in its "ZWEI" and "DREI" variants.
  696.        File deletion on load isn't novel in resident viruses. But by
  697.        coupling it to anti-virus recognition LOCKJAW underscores the
  698.        necessity of having the user realize he MUST remove the virus
  699.        from memory before using his software, or at the very least, 
  700.        operate from a write-protected diskette. (Although, as you will
  701.        see with LOKJAW-DREI, the latter step is also potentially dodgey
  702.        business.)
  703.  
  704.        In the wild, the entertaining virus "chomp" would be removed, as it
  705.        is a dead giveaway that the virus is present and in control
  706.        of the machine. (For that matter, so is sudden file deletion.
  707.        But the effect would remain puzzling to uninformed users.)
  708.        
  709.        Taking this idea one step further, LOKJAW-DREI is a modification
  710.        which removes file deletion and replaces it with a fake
  711.        disk-trashing routine which the virus uses to strike the hard file
  712.        when an anti-virus program is called to find it.
  713.  
  714.        Although LOKJAW-DREI only makes the drive temporarily inacessible,
  715.        it doesn't take a great leap of imagination to see its
  716.  
  717.                                      Page 11
  718.  
  719.        potential. Mark Ludwig talked about this at length in an article
  720.        on "retaliating viruses" published in American Eagle's "Computer
  721.        Virus Developments Quarterly #1" In that issue he supplied the
  722.        code for such an animal, the direct action Retaliator virus, an 
  723.        Intruder variant. 
  724.        
  725.        The point that he made, and a valid one, is that the existence
  726.        of such a virus on a machine makes it absolutely necessary
  727.        that the user know what he's doing when he goes out looking
  728.        for it. 
  729.        
  730.        The LOCKJAW viruses, however, are easy to "play" with.  They 
  731.        will become resident below the 640k boundary and infect .COMs or 
  732.        .EXE's, depending upon the variant, upon execution. They will 
  733.        also show a noticeable 4k drop in memory available to free programs.
  734.        By running Scan, F-Prot, Integrity Master or Central 
  735.        Point Anti-Virus when LOCKJAW is present, the "retaliating" 
  736.        effect is shown. Of course, this software is deleted so
  737.        don't use your only copy unless you want it erased. (Not a
  738.        bad strategy for some software.)
  739.  
  740.        LOCKJAW can be removed from memory by simply rebooting from a
  741.        clean, write-protected system disk.
  742.        
  743.        [In a related note:  The SANDRA and LOKJAW viruses come with 
  744.        Central Point Anti-virus as a default.  Even though the
  745.        software is continually drubbed in product reviews and word-of
  746.        mouth gossip, it is included in the coming MS-DOS 6.0.  This
  747.        ensures that it will be even more ubiquitous on home and business
  748.        machines in 1993 - a fact of interest to virus and competing
  749.        anti-virus developers alike.]
  750.        ***************************************************************
  751.        
  752.        ***************************************************************
  753.        IN THE READING ROOM III: CRITIQUE OF DISCOVER PIECE ON THE
  754.        BULGARIAN VIRUS CONNECTION
  755.        ***************************************************************
  756.  
  757.        I'm sure a number of alert newsletter readers have, by now, 
  758.        browsed through the February issue of Discover magazine and seen 
  759.        the excerpt from another book on "hackers" called "Approaching Zero," 
  760.        to be published by Random House. The digested portion is from a 
  761.        chapter dealing with what authors' Bryan Clough and Paul Mungo call 
  762.        "the Bulgarian virus connection."
  763.  
  764.        While it was interesting - outwardly a brightly written 
  765.        article - to someone a little more familiar with the subject matter
  766.        than the average Discover reader, it was another flawed attempt
  767.        at getting the story right for a glossy magazine-type readership.
  768.  
  769.        First, we were surprised that reporters Mungo and Clough fell 
  770.        short of an interview with virus author, the Dark Avenger.  Since 
  771.        they spent so much time referring to him and publishing a few 
  772.        snippets of his mail, it was warranted, even if he is a very tough 
  773.        contact.
  774.  
  775.        In addition, they continually exaggerate points for the sake of 
  776.        sensationalism. As for their claim that the Dark Avenger's "Mutating 
  777.        Engine"  maybe being the "most dangerous virus ever produced,"  
  778.        there's no evidence to support it.  First, they continue the 
  779.        hallowed media tradition of calling the Mutation Engine 
  780.        a virus. It's not. The Mutation Engine is a device which we've gone
  781.  
  782.                                      Page 12
  783.  
  784.        over in these pages again and again. 
  785.   
  786.        The Crypt reader knows it doesn't automatically make the virus 
  787.        horribly destructive, that's a feature virus-writers put into 
  788.        viruses separate from the Engine.  
  789.  
  790.        And although the first Mutation Engine viruses introduced into 
  791.        the U.S. could not be detected by scanners included in 
  792.        commercial anti-virus software, most of these packages included 
  793.        tools to monitor data passively on any machine.  These tools 
  794.        COULD detect Mutation Engine viruses, a fact that can still be 
  795.        demonstrated with copies of the software. And one that almost 
  796.        everyone covering the Mutation Engine angle glosses over, if they 
  797.        bother to mention it at all. In any case, Mutation Engine code 
  798.        is well understood and viruses equipped with it are now no more 
  799.        hidden than viruses which don't include it. 
  800.  
  801.        Of greater interest, and an issue Mungo and Clough don't get to, is 
  802.        the inspiration the Dark Avenger Mutation Engine supplied to virus 
  803.        programmers.  
  804.  
  805.        By the summer of 1992, disassembled versions of the Mutation Engine 
  806.        were everywhere, for all intents.
  807.   
  808.        It seemed only a matter of time before similar code kernels with 
  809.        more sophisticated properties popped up and this has been the case.   
  810.        Coffeeshop, a virus mentioned in the original Discover piece,
  811.        is just such an animal, although the authors don't get into it.
  812.        Coffeeshop utilizes a slightly more sophisticated variable encryptor 
  813.        - called the Trident Polymorphic Engine - which adds a few features 
  814.        not present in the Dark Avenger model as well as decreasing its
  815.        size.  It, too, has been distributed in this country as a device 
  816.        which can be utilized by virus authors interested in shot gunning 
  817.        it into their own creations.  It is of Dutch origin, produced by 
  818.        a group of programmers known as "TridenT."  TridenT, a group with 
  819.        a taste for whimsy, freely acknowledges the inspiration of 
  820.        the Mutation Engine. Curiously, Coffeeshop is Dutch slang for a 
  821.        place to pick up some marijuana. Very interesting, is it not?
  822.  
  823.        However, the Trident Polymorphic Engine is no more inherently 
  824.        dangerous than the Mutation Engine.  Viruses utilizing it can be 
  825.        detected by the same tools used to detect Mutation Engine viruses 
  826.        before those could be scanned.
  827.  
  828.        The reporters also claim that disassembling a virus to find out 
  829.        what it does is a "difficult and time-consuming process" capable 
  830.        of being carried out "only by specialists."  This is another myth 
  831.        which feeds the perception that viruses are incredibly 
  832.        complicated and that one can only be protected from them by the 
  833.        right combination of super-savvy experts.
  834.  
  835.        It has little basis in reality which is why we spent some time
  836.        shooting it in the rear end in an earlier portion of this 
  837.        issue.   
  838.  
  839.        And that's what's the most irritating about Mungo and Clough's 
  840.        research. In search of the cool story, they further the dated idea 
  841.        that virus-programming is some kind of arcane art, practiced by 
  842.        "manic computer freaks" living in a few foreign countries where 
  843.        politics and the economy are oppressive .  While it's true that 
  844.        a few viruses are clever, sophisticated examples of programming, the 
  845.        reality is that almost anyone (from 15-year olds to 
  846.  
  847.                                      Page 13
  848.  
  849.        middle-aged men) with a minimal understanding of assembly language 
  850.        can (and does) write them from scratch or cobble new ones together 
  851.        from pieces of found code or toolkits.
  852.  
  853.        Since everyone's computers DON'T seem to be crashing from viral 
  854.        infection right and left (remember Michelangelo?), Mungo and Clough, 
  855.        in our opinion, really stretch the danger of the "Bulgarian virus 
  856.        factory." 
  857.  
  858.        This is such an old story it has almost become shtick, a routine 
  859.        which researcher Vesselin Bontchev (apparently Clough and Mungo's 
  860.        primary source) has parlayed into an intriguing career. 
  861.  
  862.        A great number of the 200 or so Bulgarian viruses the reporters 
  863.        mention in fear-laden terms ARE already here, too  - stocked on 
  864.        a score of BBS's run by programmers and computer enthusiasts.  
  865.        Mungo and Clough write of "the scope of the problem . . . not 
  866.        [becoming] apparent for several years." That's an easy, leading 
  867.        call to make because no one will remember or hold them to it in 
  868.        2000.  The Crypt newsletter suggests "We don't know."  
  869.        
  870.        Now that would have been more honest. But we doubt if it would have 
  871.        sold as well. 
  872.  
  873.        [To add insult to injury, the authors warn of the ominous LoveChild
  874.        virus, counting toward zero, waiting to ambush your hard file. It's
  875.        worth noting the Skulason's F-Prot casually dismisses LoveChild as 
  876.        a buggy virus which only operates on machines running DOS 3.3.
  877.        Solomon's Toolkit modestly judges it as capable of "moderate" 
  878.        damage.] 
  879.        
  880.        =-=In true domino effect, PRODIGY - the "interactive home computer
  881.        service" for numerous, mixed-up, Bush-voting, Democrat yuppies -
  882.        recycled segments of the Discover article on January 30 in its
  883.        "Headline News" section.  The un-bylined story loudly proclaimed
  884.        "the Mutating Engine . . . the most dangerous virus ever" and re-
  885.        iterated ominous news of LoveChild, a program which won't function
  886.        on many systems.  LoveChild, alert Crypt newsletter readers may
  887.        be interested to know, "will erase all of a computer's memory,"
  888.        according to PRODIGY Headline News.=-=
  889.        
  890.        ****************************************************************
  891.        IN THE READING ROOM IV: WRITER AND EX-JOCKEY DICK FRANCIS 
  892.        REPORTS ON COMPUTER VIRUSES IN "DRIVING FORCE," HIS LATEST NOVEL 
  893.        OF MYSTERY AND INTRIGUE
  894.        ****************************************************************
  895.        It turns out that one of the Crypt Newsletter staffers is a
  896.        fiend for Dick Francis.  In case you don't know, Francis is an 
  897.        entire publishing company unto himself. He cranks out enough 
  898.        material in a year to give Stephen King a run for his money. 
  899.        However, he's never been pegged as a "computer" writer.
  900.  
  901.        So it came as a surprise when a staffer shrieked in glee,
  902.        ran over to where I was lurking by the water-cooler and
  903.        thrust Francis's manuscript into my face.
  904.  
  905.        "Look, look, Michelangelo!!" she gibbered.  And there it
  906.        was, a fictional account of someone's office getting cold-cocked
  907.        by the virus.  But enough of this, here's a teaser:
  908.  
  909.        -=[ The computer man, perhaps twenty, with long light brown hair                      
  910.        through which he ran his fingers in artistic affectation every
  911.        few seconds, had given up trying to resuscitate our hardware by 
  912.        the time I got back to the office.
  913.  
  914.        "What virus?" I asked, coming to a halt by by Isobel's desk
  915.        and feeling overly beleaguered.  We had flu, we had aliens, we 
  916.        had bodies, we had vandals, we had concussion.  A virus in
  917.        the computer could take the camel to its knees.
  918.  
  919.        "All our records," Isobel mourned.
  920.  
  921.  
  922.                                      Page 14
  923.  
  924.        "And our accounts," chimed Rose.
  925.  
  926.        "It's prudent to make backups," the computer man told them
  927.        mock-sorrowfully, his young face more honestly full of scorn.
  928.        "Always make backups,ladies."
  929.  
  930.        "Which virus?" I asked again.
  931.  
  932.        He shrugged, including me in his stupidity rating. "Maybe 
  933.        Michelangelo . . . Michelangelo activates on March 6 and
  934.        there's still a lot about."
  935.  
  936.        "Enlarge," I said.
  937.  
  938.        "Surely you know?"
  939.  
  940.        "If I knew, I've forgotten."
  941.  
  942.        He spelled it out as to an illiterate.  "March 6 is Michelangelo's
  943.        birthday.  If you have the virus lying doggo in your computer
  944.        and you switch on your computer on March 6, the virus activates."
  945.  
  946.        "Michelangelo is a boot-section virus," the expert said, and to
  947.        our blank-looking expressions long-sufferingly explained. "Just
  948.        switching the machine on does the trick. Simply switching it on,
  949.        waiting a minute or two and switching off. Switching on is called
  950.        booting up. All the records on your hard disk are wiped out at
  951.        once with Michelangelo and you get the message 'Fatal disk error.'
  952.        That's what happened to your machine. The records are gone. There's
  953.        no putting them back."
  954.  
  955.        "What exactly is a virus?" Rose inquired miserably.
  956.        
  957.        "It's a program that tells the computer to jumble up or wipe
  958.        out everything stored in it." He warmed to his subject. "There
  959.        are at least three thousand viruses floating around. There's
  960.        Jerusalem II that activates every Friday the 13th, that's a 
  961.        specially nasty one.  It's caused a lot of trouble, has that
  962.        one."
  963.  
  964.        "But what's the point?" I asked.
  965.  
  966.        "Vandalism," he said cheerfully.  "Destruction and wrecking for
  967.        its own sake." He ran his fingers through his hair. "For instance,
  968.        I could design a sweet little virus that would make all your
  969.        accounts come out wrong.  Nothing spectacular like Michelangelo,
  970.        not a complete loss of everything, just enough to drive you mad.
  971.        Just enough to make errors so that you'd be forever checking and
  972.        adding and nothing would ever come out right."  He loved the idea,
  973.        one could see.  
  974.  
  975.        "How do you stop it?" I asked.
  976.  
  977.        "There are all sorts of expensive programs nowadays for detecting
  978.        and neutralizing viruses. And a whole lot of people thinking up 
  979.        ways to invent viruses that can't be got rid of.  It's a whole
  980.        industry.  Lovely, I mean, rotten."
  981.  
  982.        Viruses, I reflected, meant income, to him.  ]=-
  983.  
  984.        How's that?  Not bad, for a mystery writer! Why, Francis seems 
  985.        more knowledgable about the subject than the writers of glossy-cover
  986.  
  987.                                      Page 15
  988.  
  989.        "suit" computer publications!  But we're not gonna tell you how
  990.        it ends, you'll just have to dig up "Driving Force" (Putnam)
  991.        for yourself.  
  992.        *****************************************************************
  993.  
  994.        IN THE READING ROOM V:  NEW YORK TIMES AND THE PHRAKR TRAKR -
  995.        BBS's: THE ROOT OFFAL EVIL (OUCH, PUNNY!)
  996.        ******************************************************************
  997.  
  998.        In a January 25 'A' section article, a N.Y. Times reporter profiles
  999.        the "Phrakr Trakr," a federal undercover man keeping our
  1000.        electronic streets safe from cybernetic hoodlums too numerous to
  1001.        mention singly.
  1002.  
  1003.        Reporter Ralph Blumenthal immediately reveals himself as yet 
  1004.        another investigator from the mainstream who has never gotten
  1005.        anything from underground BBS's first-hand, focusing on the
  1006.        Phrakr Trakr's tales of nameless computer criminals trafficking
  1007.        in "stolen information, poison recipes and bomb-making 
  1008.        instructions." 
  1009.  
  1010.        We're not going to dwell on the issue of phone-related phraud
  1011.        and the misappropriation of credit card accounts (which has
  1012.        been well-established), but Blumenthal's continued 
  1013.        attention to text files for "turning household chemicals into 
  1014.        deadly poisons, [or] how to build an 'Assassin Box' to supposedly 
  1015.        send a lethal surge through a telephone line" is sickening.  It 
  1016.        furthers the generalization that all reporters are fetal-alcohol 
  1017.        damaged rubes with little educational background beyond elementary 
  1018.        school.  Anyone who's seen or stock-piled text files on a BBS knows 
  1019.        they're either menacingly written trivial crap or bowdlerized 
  1020.        reprints from engineering, biology and chemistry books. In either 
  1021.        case, hardly noteworthy unless you're one who can't tell the 
  1022.        difference between comic books and real news.
  1023.  
  1024.        The Times delivers a back-to-the-camera photo of the Phrakr Trakr,
  1025.        an overweight man with a handcuff dangling from 
  1026.        his suspenders. He "patrols THOUSANDS [emphasis ours] of computer 
  1027.        bulletin boards" states the photo's slug-line, an absurd claim which 
  1028.        neatly overlooks the fact that there's not enough time in a year
  1029.        to physically accomplish the deed.  
  1030.        
  1031.        The Phrakr Trakr has his own newsletter, F.B.I., for
  1032.        "Find um [sic], Bust um [sic], Incarcerate um [sic]."  "Got any 
  1033.        codez?" indeed.
  1034.        
  1035.        
  1036.        *****************************************************************
  1037.        FICTUAL FACT/FACTUAL FICTION
  1038.        *****************************************************************
  1039.  
  1040.        HOUSE AD:  CRYPT INFOSYTEMS BBS is now running full-time.  Pick
  1041.        up the newest useless files and Crypt Newsletters direct.  Bask
  1042.        in the scintillating conversation and avuncular charm of
  1043.        sysop and editor, URNST KOUCH.  Meet the very funny PALLBEARER.
  1044.        And acquaint yourself with all their fine friends.
  1045.        The number?  215.868.1823.
  1046.        -----------------------------------------------------------------
  1047.  
  1048.        GRAY AREAS magazine is looking to interview virus authors for
  1049.        a continuing series of articles. The Crypt Newsletter editorial
  1050.        staff recently had an opportunity to meet with the editor
  1051.        of GRAY AREAS, Netta Gilboa, and came away with the conviction
  1052.        that the magazine is dedicated to exposing all points of view
  1053.        on many subjects. In other words, you don't need a highly paid
  1054.        mouthpiece, a movie contract or the Congressional Medal of 
  1055.        Honor to be of interest to its editors.  A recent
  1056.        issue featured an excellent interview with John Perry Barlow 
  1057.        among other sections too numerous to cover adequately here. 
  1058.        
  1059.        Contact GRAY AREAS at any of the following:
  1060.                  
  1061.                   grayarea@well.sf.ca.us
  1062.                   ph:  215.353.8238
  1063.                   mail: POB 808 
  1064.                         Broomall, PA  19008-0808
  1065.       --------------------------------------------------------------------
  1066.       Phalcon/SKISM programmer Dark Angel has produced the G2, or
  1067.       Second Generation viral code generator.  Capable of producing
  1068.       resident .COM/.EXE infecting virus with limited poylmorphism,
  1069.       Dark Angel's documentation states the G2 supersedes the
  1070.       PS-MPC.  The Phalcon/SKISM programmer plans to update the G2 code 
  1071.       base as time allows; he maintains in the instructions to the program
  1072.       that G2 has much more flexibility than the PS-MPC, capable
  1073.       of multiple arrangements of commented code and data segments.
  1074.  
  1075.       Although the G2 is separate from the PS-MPC, it appears that
  1076.       those users familiar with the former will have no trouble 
  1077.       adapting to the latter.
  1078.       ---------------------------------------------------------------------
  1079.       PRODIGY, the "interactive home computer service" for numerous
  1080.       mixed-up, Bush-voting, Democrat yuppies, has cut its work force
  1081.       by 25, putting approximately 250 people onto the street.
  1082.       ----------------------------------------------------------------------
  1083.       IBM - panicked by the tolling bell of impending corporate doom - has 
  1084.       moved to can CEO John Akers, presumably because the company is 
  1085.       non-competitive under his leadership.  Akers will remain to head 
  1086.       the team selected to draft his replacement. Does this make sense 
  1087.       to you or are WE nuts? Draft the guy you're firing to find his own 
  1088.       replacement.  Yes, this is a GOOD PLAN. Sell your IBM stock while 
  1089.       you still can. That's the Crypt Newsletter's advice.
  1090.       ____________________________________________________________________
  1091.       END CREDITS:  Thanks and a tip o' the hat to NIKADEMUS, CAPTAIN
  1092.       AEROSMITH and the usual crew of alert readers. 
  1093.  
  1094.                                      Page 16
  1095.  
  1096.       
  1097.       --------------------------------------------------------------------
  1098.         
  1099.         The Crypt Newsletter includes virus source code in each issue.
  1100.         If assembled, it will produce working copies of the viruses
  1101.         described.  In the hands of incompetents, irresponsibles and
  1102.         and even the experienced, these programs can mess up the software 
  1103.         resources of any IBM-compatible PC - most times, irretrievably.
  1104.         Public knowledge that you possess such samples can make you
  1105.         unpopular - even shunned - in certain circles of your computer 
  1106.         neighborhood, too.
  1107.         
  1108.         To assemble the software included in this issue of the newsletter,
  1109.         copy the MS-DOS program DEBUG.EXE to your current directory,
  1110.         unzip the newsletter archive into the same directory and
  1111.         type MAKE at the DOS prompt.  
  1112.         
  1113.         This issue of the newsletter should contain the following
  1114.         files:
  1115.  
  1116.                 CRPTLT.R12 - this document
  1117.                 MAKE.BAT - instant "maker" for this issue's software.
  1118.                 Ensure that the MS-DOS program DEBUG.EXE is in the 
  1119.                 machine path or current directory, before 
  1120.                 typing "MAKE".
  1121.                 LOCKJAW.ASM - assembly listing for the LOCKJAW virus
  1122.                 LOKJAWZ.ASM -    "        "     "   LOKJAW-ZWEI
  1123.                 LOKJAWD.ASM -    "        "      "  LOKJAW-DREI
  1124.                 LOCKJAW.SCR - scriptfile for LOCKJAW
  1125.                 LOKJAWZ.SCR -    "        "  LOKJAW-ZWEI
  1126.                 LOKJAWD.SCR -    "        "  LOKJAW-DREI
  1127.                 SANDRA.SCR -     "        "  SANDRA virus
  1128.  
  1129.  
  1130.     You can pick up the Crypt Newsletter at these fine BBS's, along with
  1131.     many other nifty, unique things.
  1132.  
  1133.  
  1134.     CRYPT INFOSYSTEMS         1-215-868-1823  Comment: Crypt Corporate East
  1135.     
  1136.     DARK COFFIN               1-215-966-3576  Comment: Crypt Corporate West
  1137.     
  1138.     THE HELL PIT                  1-708-459-7267 
  1139.     DRAGON'S DEN                  1-215-882-1415
  1140.     RIPCO ][                      1-312-528-5020
  1141.     AIS                           1-304-420-6083
  1142.     CYBERNETIC VIOLENCE           1-514-425-4540 
  1143.     THE VIRUS/BLACK AXIS          1-804-599-4152
  1144.     NUCLEAR WINTER                1-215-882-9122 
  1145.     UNPHAMILIAR TERRITORY         1-602-PRI-VATE
  1146.     THE OTHER SIDE                1-512-618-0154
  1147.     MICRO INFORMATION SYSTEMS SERVICES       1-805-251-0564
  1148.     REALM OF THE SHADOW                      1-210-783-6526
  1149.     STAIRWAY TO HEAVEN                       1-913-235-8936
  1150.     THE BIT BANK                             1-215-966-3812
  1151.     CYGNUS-X                                 1-215-791-2457
  1152.     
  1153.  
  1154.     The Crypt Newsletter staff welcomes your comments, anecdotes,
  1155.     thoughtful articles and hate mail. You can contact Urnst Kouch
  1156.     Crypt BBS, CSERVE#:70743,1711 or Internet: 70743.1711@compuserve.com    
  1157.  
  1158.                                      Page 17
  1159.  
  1160.     
  1161.  
  1162.     For those who treasure hardcopy, Crypt Newsletter is available as a 
  1163.     FAX subscription: $20 for a ten issue run. It can also be had as one of
  1164.     those Mickey Mouse-looking papyrus newsletters produced by WordPerfect
  1165.     C.A.N.T.'s [Corporate Animal, No Talent] for the same price. All 
  1166.     inquiries should be directed to the Crypt Newsletter e-mail 
  1167.     addresses.
  1168.                                   -*-
  1169.  
  1170.  
  1171.  
  1172.  
  1173.  
  1174.  
  1175.  
  1176.  
  1177.  
  1178.  
  1179.  
  1180.  
  1181.  
  1182.  
  1183.  
  1184.  
  1185.  
  1186.  
  1187.  
  1188.  
  1189.  
  1190.  
  1191.  
  1192.  
  1193.  
  1194.  
  1195.  
  1196.  
  1197.  
  1198.  
  1199.  
  1200.  
  1201.  
  1202.  
  1203.  
  1204.  
  1205.  
  1206.  
  1207.  
  1208.  
  1209.  
  1210.  
  1211.  
  1212.  
  1213.  
  1214.  
  1215.  
  1216.  
  1217.  
  1218.  
  1219.  
  1220.  
  1221.  
  1222.  
  1223.                                      Page 18
  1224.