home *** CD-ROM | disk | FTP | other *** search
/ Multi-CD Magazin 1994 April / MultiCDMagazin0494.iso01.iso / sharew / virus / fp-214 / analyse.doc next >
Text File  |  1994-06-29  |  2KB  |  39 lines
  1.                         Heuristic analysis
  2.  
  3. Scanning for viruses by using search strings is not the ultimate solution
  4. to the virus problem.  If using an up-to-date scanner (or better yet, two
  5. scanners from different companies), one can be fairly certain that all
  6. known viruses will be detected.  The scanners may or may not detect new
  7. variants which have been created by modifying older viruses, but if a new
  8. virus is written entirely from scratch, it will probably not be detected by
  9. any existing search string.
  10.  
  11. The virus may be detected by a generic monitoring program when it
  12. activates - perhaps when trying to perform some suspicious action, such as
  13. reformatting the hard disk.  It may also be detected by a checksuming
  14. program, which detects changes to files or boot secors, after they have
  15. been infected.  Nevertheless, it is preferable to try to detect the
  16. presence of the virus without actually running a virus-infected program.
  17.  
  18. The heuristic analysis is basically a small expert-system, which has a set
  19. of rules describing viruses, and attempts to apply them to the programs it
  20. analyses.  It is still only in an experimental stage and is not flawless -
  21. some viruses cannot yet be detected in this way, and an occasional false
  22. alarm is to be expected.
  23.  
  24. Currently a few programs are known to cause a false positive, including:
  25.  
  26.   Any program protected with the HyperLOCK encryptor ... not surprising, 
  27.   considering that it claims that "Attemping to reverse engineer this
  28.   software may result in data loss".
  29.  
  30.   A few heavily "armored" programs, that use multiple layers of
  31.   anti-debugging techniques.  XTG.EXE (Xtree Gold) is one example.
  32.  
  33.   RXINTMGR.COM
  34.  
  35. In addition, if the heuristics report a non-executable file as suspicious,
  36. it is almost certainly a false alarm - the heuristics are only intended to
  37. analyse executable files, and will not produce neaningful results if used
  38. on a data files.  You should not use heuristics with "All files"
  39. selected.