home *** CD-ROM | disk | FTP | other *** search

---

/ The 640 MEG Shareware Studio 2 / The 640 Meg Shareware Studio CD-ROM Volume II (Data Express)(1993).ISO / info / vl5_185.zip / VL5-185.TXT

Wrap

Internet Message Format  |  1992-11-20  |  31KB

---

1. From lehigh.edu!virus-l Thu Nov 19 23:15:32 1992
2. Date: Thu, 19 Nov 1992 10:23:44 -0500
3. Message-Id: <9211191448.AA21875@barnabas.cert.org>
4. Comment: Virus Discussion List
5. Originator: virus-l@lehigh.edu
6. Errors-To: krvw@cert.org
7. Reply-To: <virus-l@lehigh.edu>
8. Sender: virus-l@lehigh.edu
9. Version: 5.5 -- Copyright (c) 1991/92, Anastasios Kotsikonas
10. From: "Kenneth R. van Wyk" <krvw@cert.org>
11. To:   Multiple recipients of list <virus-l@lehigh.edu>
12. Subject: VIRUS-L Digest V5 #185
13. Status: R
14.  
15. VIRUS-L Digest   Thursday, 19 Nov 1992    Volume 5 : Issue 185
16.  
17. Today's Topics:
18.  
19. Re: SCAN Ver 97 & Monkey Virus (PC).
20. Re: Need info on MONKEY virus (PC)
21. Re: SCAN 95b doesn't find MtE in EXE files (PC)
22. Re: Dangerous bug in CLEAN 97 (PC)
23. Re: F-Prot's (v2.05) memory scanning. (PC)
24. Re: How good is Norton Antivirus? (PC)
25. Monkey Virus (PC)
26. Re: How good is Norton Antivirus? (PC)
27. Re: KEY Press virus & McAfee v97 (PC)
28. F-PROT question (PC)
29. Re: VSUM Listing (PC)
30. Apologies to Padgett, and clarification (PC)
31. Stoned virus Recovery (PC)
32. Re: SCANV97 don't work in OS/2 dosbox (OS/2) (PC)
33. re: CHRISTMA effects (CVP)
34. Re: CHRISTMA Effects (CVP)
35. Things that keep me awake at night
36. Australian anti-virus site
37. Being forthcoming...
38. MtE detection tests (part 1/5) (PC)
39.  
40. VIRUS-L is a moderated, digested mail forum for discussing computer
41. virus issues; comp.virus is a non-digested Usenet counterpart.
42. Discussions are not limited to any one hardware/software platform -
43. diversity is welcomed.  Contributions should be relevant, concise,
44. polite, etc.  (The complete set of posting guidelines is available by
45. FTP on cert.sei.cmu.edu or upon request.) Please sign submissions with
46. your real name.  Send contributions to VIRUS-L@LEHIGH.EDU.
47. Information on accessing anti-virus, documentation, and back-issue
48. archives is distributed periodically on the list.  A FAQ (Frequently
49. Asked Questions) document and all of the back-issues are available by
50. anonymous FTP on cert.org (192.88.209.5).  Administrative mail
51. (comments, suggestions, and so forth) should be sent to me at:
52. <krvw@CERT.ORG>.
53.  
54.    Ken van Wyk
55.  
56. ----------------------------------------------------------------------
57.  
58. Date:    Tue, 17 Nov 92 03:43:45 +0000
59. From:    mechalas@mentor.cc.purdue.edu (John Mechalas)
60. Subject: Re: SCAN Ver 97 & Monkey Virus (PC).
61.  
62. martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences) writes:
63. >But it isn't trivial, so instead you might want to get a copy of
64. >my KILLMONK program, which does that and more for you.  It uses
65. >some careful identification strings, checks that the recovered MBR
66. >is correct, etc.  Also makes scanning and cleaning of floppies
67. >easy.  And strictly speaking, it doesn't require a clean boot, as
68. >long as the only virus messing things up at the time is Monkey.
69. >
70. >I think KILLMONK may have been posted at some of the ftp sites.
71. >If you can't find it, or want me to send it (uuencoded) via
72. >e-mail, drop me a note.  (It's free of course, and worth every
73. >virtual cent!)
74.  
75. I found killmonk.zip at oak.oakland.edu, so I assume it is at all of
76. the SIMTEL20 mirrors.  It's in the trojan-pro directory, by the way.
77. - --
78. John Mechalas                      | If you think my opinions are Purdue's, then
79. mechalas@mentor.cc.purdue.edu      |      you vastly overestimate my importance.
80. Purdue University Computing Center |             Help put a ban on censorship :)
81. General Consulting                 |                       #include disclaimer.h
82.  
83. ------------------------------
84.  
85. Date:    Tue, 17 Nov 92 01:42:46 -0500
86. From:    padgett@tccslr.dnet.mmc.com (A. Padgett Peterson)
87. Subject: Re: Need info on MONKEY virus (PC)
88.  
89. >From:    martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences)
90.  
91. >Third, the Monkey virus specifically (and successfully)
92. >bypasses Padgett's Disk Secure program.  This virus represents
93. >a rare case: a very specific attack against a very specific
94. >disk security system.  Fortunately most scanners will find
95. >the virus in memory.  Again this stresses the importance of
96. >having a multi-layer antivirus strategy.
97.  
98. Like I said, no software is proof against a directed attack, *however*
99. the DOS validator (CHKSEC) in the latest DS will detect the fact that
100. the proper code is not resident in memory and the Monkey cannot
101. prevent *that*.
102.  
103. Incidently, it was said that FixMBR cannot remove the Monkey - this is
104. true however if FixMBR was executed *before* infection and the .DAT
105. file saved, use of it as directed after booting from floppy will
106. restore the MBR & table as will the DiskSecure recovery disk.
107.  
108.             Cooly (in Chicago in November ?)
109.  
110.                   Padgett
111.  
112. ------------------------------
113.  
114. Date:    Tue, 17 Nov 92 07:32:33 +0000
115. From:    mcafee@netcom.com (McAfee Associates)
116. Subject: Re: SCAN 95b doesn't find MtE in EXE files (PC)
117.  
118. Hello Vesselin,
119.  
120. you write
121. [a ">>" means I write]
122.  
123. [...part about SCAN 97 missing representative samples from each set
124. of your MtE-based viruses deleted for brevity...]
125.  
126. >                           Unless, of course, you mean my previous
127. >message, in which I stated that SCAN 95b does NOT detect the MtE-based
128. >viruses in ANY infected EXE files AT ALL, which is also true.
129.  
130. Correct.  SCAN 95-B was released before we had any samples of
131. MtE-based viruses which infected .EXE files.  Detection was added in
132. V97 (the V96 release was skipped due to a Trojan horse).
133.  
134. >Regardless which of my messages you meant, they are both true and I
135. >have facts that prove both of them. If you consider my message about
136. >those facts to be alarmist, you are free to think so. Try to explain
137.  
138. Okay.
139.  
140. >it to your users. But please, don't object the facts. The facts are
141.  
142. I have been :-).  I don't believe I was objecting to your results.
143.  
144. >that SCAN is still unable to detect reliably ANY of the MtE-based
145. >viruses. It was my duty to warn its users about this.
146.  
147. [... my comments about MtE-based virus spread deleted...]
148.  
149. >I am not arguing about how widespread the MtE-based viruses are. They
150. >are not. What I am arguing about is that SCAN 97 is not able to detect
151. >reliably ANY of them. For a known virus, there is no such thing as
152. >99.8% detection. You either can detect it, or you cannot. Try
153.  
154. Are you sure?  I can see two opposing schools of thought forming here:
155. One of "all or nothing" detection (the binary operation school of
156. thought), and one of "percentages" of detecting (the analog school of
157. thought)?  Without getting too far off track, here, I believe that
158. there will be more "percentage" reports in the future, especially as
159. more complex forms of viral code emerge.
160.  
161. >explaining your users that they should not be alarmed, because SCAN
162. >misses "only" about one infected file in every 50. Besides, 319 missed
163. >samples of 15,994 is 98% (not 99.8%), i.e. one missed sample in every
164.                       ^^^^^^^^^^^^^^^
165. My mistake.  Sorry about that.
166.  
167. >50.
168.  
169. [...my suggestion for wording of reports deleted...]
170.  
171. >OK, I'll use this wording the next time. But I will not miss to say
172. >that "SCAN version xx missed X out of Y samples of the Z virus, which
173. >means that this version of SCAN is NOT able to detect the Z virus
174. >reliably. I've notified McAfee Associates of the problem and they will
175. >(hopefully) fix it shortly."
176.  
177. <GRIN>  Beautiful.
178.  
179. >> >an article posted somewhere (maybe even here), which described how
180. >> >McAfee Associates sponsored a particular set of anti-virus product
181. >> >evaluations and insisted that only old versions of the scanners of
182. >> >their main competitors were tested.
183. >
184. >> McAfee Associates has sponsored (that is, paid for) anti-virus product
185. >> testing by a number of independent organizations, using then-available
186. >> versions of competitors' anti-viral programs.  To do otherwise would be
187. >> worthless.
188. >
189. >More exactly, the article said that McAfee insisted that OLD versions
190.  
191. The article (I wish I knew which one) could have have said that.  It
192. does not mean that it is true, though.
193.  
194. >of the competitive scanners were used in those tests and that he was
195. >quoted saying that he wants his competitors to show worse results in
196. >such tests. To do otherwise might be worthless from the economical
197.  
198. I think its fairly easy to guess that John McAfee would like his programs
199. to do better then anyone else's in a test.  I'm sure that is hardly
200. unique, though.
201.  
202. >point of view, but it would be honest from the human point of view...
203.  
204. [...deleted...]
205. >I hope so. This is one of the reasons for posting my message. Just
206. >have in mind that the bugs in security-related software (like
207. >anti-virus programs) are more dangerous. I'll do my best to continue
208. >reporting them.
209.  
210. If possible, would you mind sending me a copy of any such reports?  (Only
211. on McAfee Associates software, that is).  Thank you.
212.  
213. Regards,
214.  
215. Aryeh Goretsky
216. Technical Support
217.  
218. PS:  SCAN V99 should be available about the time you read this.  I'd
219.      be very interested in hearing how it does--the MtE-based virus
220.      detector was rewritten.  AG
221. - --
222. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
223. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
224. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
225. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
226. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
227. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
228.  
229. ------------------------------
230.  
231. Date:    Tue, 17 Nov 92 07:38:39 +0000
232. From:    mcafee@netcom.com (McAfee Associates)
233. Subject: Re: Dangerous bug in CLEAN 97 (PC)
234.  
235. Hello Vesselin,
236.  
237. you write:
238. [...message about CLEAN not removing the Michelangelo from 1.2Mb diskettes
239. deleted for brevity...]
240. >McAfee Associates has been notified of the bug and they are probably
241. >already working on the solution. Hopefully, the bug will be fixed in
242. >the next release of CLEAN.
243. [...deleted...]
244.  
245. Noted and in the queue of things to be looked into.  A new version of
246. CLEAN should be ready early next week fixing this, barring any
247. unforseen problems.
248.  
249. Regards,
250.  
251. Aryeh Goretsky
252. Technical Support
253.  
254. - --
255. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
256. McAfee Associates, Inc.  | Voice (408) 988-3832 | INTERNET:
257. 3350 Scott Blvd, Bldg 14 | FAX   (408) 970-9727 | mcafee@netcom.COM
258. Santa Clara, California  | BBS   (408) 988-4004 | CompuServe ID: 76702,1714
259. 95054-3107  USA          | USR HST Courier DS   | or GO MCAFEE
260. Support for SENTRY/SCAN/NETSCAN/VSHIELD/CLEAN/WSCAN/NETSHIELD/TARGET/CONFIG MGR
261.  
262. ------------------------------
263.  
264. Date:    17 Nov 92 08:58:23 +0000
265. From:    frisk@complex.is (Fridrik Skulason)
266. Subject: Re: F-Prot's (v2.05) memory scanning. (PC)
267.  
268. cz1jed@orac.sunderland-poly.ac.uk (J.EDWARDS) writes:
269.  
270. >After hours of failing to get Windows to install, the owner suddenly
271. >announced he thought his computer might be infected.  I ran F-Prot
272. >straight away and sure enough it announced it had detected 'Stoned' in
273. >memory.  I booted from my clean floppy and when running F-Prot again
274. >it claimed the hard-disk was infected with not 'Stoned' but
275. >'Michaelangelo'.
276.  
277. The reason for this is simple - The memory scan only reports the virus
278. family, not the exact variant name.  As Michelangelo has been
279. classified as a member of the "Stoned" family, it reports "Stoned".
280. When you scan the boot sector, F-PROT identifies the variant - in this
281. case Michelangelo.
282.  
283. - -frisk
284.  
285. ------------------------------
286.  
287. Date:    17 Nov 92 09:02:20 +0000
288. From:    frisk@complex.is (Fridrik Skulason)
289. Subject: Re: How good is Norton Antivirus? (PC)
290.  
291. sbonds@jarthur.Claremont.EDU (007) writes:
292.  
293. >   + The ability to allow the user to add new scan strings, including the use
294. >     of wildcards.  (F-prot does this w/o wildcards.)
295.  
296. No - you can use wildcards - although it does not allow
297. variable-length wildcards. A "??" in the pattern stands for a single,
298. variable byte.
299.  
300. - -frisk
301.  
302. ------------------------------
303.  
304. Date:    Tue, 17 Nov 92 08:16:51 -0500
305. From:    William Webber <webbew@aron01.gs.com>
306. Subject: Monkey Virus (PC)
307.  
308. Copy of Monkey virus found: UK London (JMP 01D0).
309.  
310. Reguards
311.  
312.         William Webber...
313.  
314. ------------------------------
315.  
316. Date:    Tue, 17 Nov 92 15:47:41 +0000
317. From:    C.Bradford@cs.ucl.ac.uk
318. Subject: Re: How good is Norton Antivirus? (PC)
319.  
320. My norton anti-virus is very old, but it does the job. Although it
321. keeps moaning about it's age.....oh well......ho...hum
322.  
323. ------------------------------
324.  
325. Date:    17 Nov 92 17:08:43 +0000
326. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
327. Subject: Re: KEY Press virus & McAfee v97 (PC)
328.  
329. mcafee@netcom.com (McAfee Associates) writes:
330.  
331. > >point is, however, that SCAN is occasionally not very accurate in determinin
332. g
333. > >exactly which virus you have.
334.  
335. > I understand that, believe me.  We will fix any such problems reported
336. > to us.
337.  
338. Will you? Any such problems? Let's hope... Because, if memory serves
339. correctly, I am reporting such problems to you since about a year...
340. Such problems include:
341.  
342. 1) Viruses mentioned in VIRLIST.TXT but never reported by SCAN.
343.  
344. 2) Viruses reported by SCAN but never mentioned in VIRLIST.TXT.
345.  
346. 3) Viruses mentioned under one name in VIRLIST.TXT, but reported under
347. a slightly different name by SCAN.
348.  
349. 4) Viruses described with wrong properties in VIRLIST.TXT.
350.  
351. 5) Several (often - completely different) viruses reported with one
352. and the same name. This is the most dangerous problem, since it causes
353. misidentification. As a reply of one of my reports about these, I got
354. a very angry reply from John McAfee himself. The reply was posted from
355. your account, so you should know about it. It claimed that the viruses
356. mentioned by me are actually closely related. Those viruses were
357. Number of the Beast, Compiler.1, and Darth Vader. Anybody who has
358. bothered to disassemble them knows that they are completely
359. different... BTW, SCAN 97 still reports all the three of them as "512
360. [512]"... :-(
361.  
362. Regards,
363. Vesselin
364. - --
365. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
366. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
367. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
368. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
369.  
370. ------------------------------
371.  
372. Date:    Tue, 17 Nov 92 12:21:12 -0500
373. From:    tuan <PNYAPTN@pacevm.bitnet>
374. Subject: F-PROT question (PC)
375.  
376. Virus-lers,
377.  
378.   Can any tell me why "Blem wit" is the program name when I load
379. virstop.exe?
380.  
381.   Background:
382.   PS2 node connected to novell netware LAN...Ipx and net5 are loaded
383. first and then virstop is loaded from the network drive.
384.  
385.   Is this a problem? if no, why does it occur? if yes, what are the
386. side affects?
387.  
388.   thank you for all your help.
389.   -tuan nguyen-
390.    programmer
391.    pace university
392.  
393. ------------------------------
394.  
395. Date:    Tue, 17 Nov 92 18:27:53 +0000
396. From:    gerald@vmars.tuwien.ac.at (Gerald Pfeifer (Prak Gusti))
397. Subject: Re: VSUM Listing (PC)
398.  
399. 0005555440@mcimail.com (Scott Begin) writes:
400.  
401. > [ Some questions about VSUM ]
402.  
403. Yes, it runs an 8088 to 80486, and on Hercules as well as on VGA....
404. The VSUM-package contains everything you need except DOS....
405. It is available on most antiviral FTP-Sites (try risc.ua.edu, urvax.urich.edu)
406.  
407. BUT: Some experts (Bontchev, Frisk...) in this group do *not* recommend VSUM.
408.  
409. A while ago I heard that the VTC Hamburg (where Bontchev works) is going
410. to release a dBase version of there virus catalog. I have not seen it
411. yet, but if anyone in this group knows, please let us know.....
412.  
413. Please no flaming about this topic!!!!
414.  
415. Gerald
416.  
417. ...........................................................................
418. . Gerald Pfeifer (Jerry)              Technical University Vienna, Austria .
419. . gerald@kongo.vmars.tuwien.ac.at     Home: Mondweg 64, 1140 Wien, Austria .
420. ...........................................................................
421. . Sorry, I'm not a native speaker (flames to /dev/null)                    .
422. ...........................................................................
423.  
424. ------------------------------
425.  
426. Date:    Tue, 17 Nov 92 12:20:55 -0700
427. From:    martin@cs.ualberta.ca (Tim Martin; FSO; Soil Sciences)
428. Subject: Apologies to Padgett, and clarification (PC)
429.  
430. Reading over two of my recent posts, about the Monkey virus, I realize
431. one could get the impression I am critical of Padgett Peterson's
432. "Fixutils" and "Disk Secure" packages.  Not at all!
433.  
434. I still find Disk Secure to be the best, simplest, and cheapest
435. software way I know of to protect against MBR infectors.  That's why
436. the University of Alberta uses it in all its "public access" DOS
437. computer labs.  And that, unfortunately, is why Monkey was written to
438. by-pass Disk Secure.  Far from a statement against Disk Secure, this
439. is a lesson on the limitations of any software-based protection
440. system: a directed attack, however unlikely, is always a possibility.
441.  
442. Similarly FixMBR demonstates an interesting and straightforward way to
443. recover from almost all MBR viruses.  But not from Monkey, and
444. presumably once again for the same reason.  :)
445.  
446. Tim.
447.  
448.  -------------------------------------------------------------
449.   Tim Martin                   *
450.   Spatial Information Systems  *  "I really don't see how returning
451.   University of Alberta        *       the product helps me."
452.   martin@cs.ualberta.ca        *
453.  -------------------------------------------------------------
454.  
455. ------------------------------
456.  
457. Date:    Wed, 18 Nov 92 00:20:07 +0000
458. From:    rahul@hfglobe.intel.com (Rahul Ravel)
459. Subject: Stoned virus Recovery (PC)
460.  
461. Hi all,
462.  
463. About 1 1/12 weeks ago I posted a query on how to get rid of the
464. Stoned virus on a friend's pc.  Just wanted to say 'Thanks" to all who
465. e-mailed.
466.  
467. FYI, I used Paul Padgett's FixMBR utility to restore the original boot
468. record.  No loss of data.  Thanks, Paul!
469.  
470. - -Rahul, rahul@hfglobe.intel.com
471.  
472. "Only my own opinions here"
473.  
474. ------------------------------
475.  
476. Date:    Tue, 17 Nov 92 05:27:09 +0000
477. From:    sci240s@monu6.cc.monash.edu.au (Wey Jing HO)
478. Subject: Re: SCANV97 don't work in OS/2 dosbox (OS/2) (PC)
479.  
480. co@bildsun1.mednet.gu.se (Christer Olsson) writes:
481.  
482. >I'm trying to use scan version 97 in a DOS-box but OS/2 trows out the
483. >scan with an error message saying that SCAN uses illegal 386
484. >instructions.
485.  
486. >Version 95 works fine, but not 97.
487.  
488. >The machine is a AST 486/E Premium at 33 Mhz with 10 Mb of memory and
489. >OS/2 2.01 beta.
490.  
491. It works for me in OS/2 with the OCT'92 CSD applied. The only
492. complains I get are that certain files are currently being used.
493.  
494. - --
495. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
496. >Wey Jing Ho    Tel: 61-3-573-2567   E-mail : sci240s@monu6.cc.monash.edu.au<
497. >Physics Dept., Monash University ( Caulfield Campus ), Melbourne, AUSTRALIA<
498. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
499.  
500. ------------------------------
501.  
502. Date:    Tue, 17 Nov 92 12:29:59 -0500
503. From:    "David M. Chess" <chess@watson.ibm.com>
504. Subject: re: CHRISTMA effects (CVP)
505.  
506. > From:    rslade@sfu.ca
507.  
508. >IBM's internal network,
509. >VNET, was more heavily hit than either EARN or Bitnet, and drastic
510. >action, in the form of a general system shutdown, was felt to be
511. >needed to clear up the mess.
512.  
513. This is an urban legend, I'm pretty sure (if you have a good primary
514. source for the statement, let me know).  I was on vacation when
515. CHRISTMA hit, but was involved to some extent in the followup
516. investigations.  As far as I know, VNET was never shut down as a
517. whole; it was even more a distributed system then than it is now, and
518. I don't think anyone knew then of a way to shut it all down if they'd
519. wanted to!  The various systems that were hit responded in various
520. ways.  Some wrote little demons that went through and purged any
521. CHRISTMA EXECs that showed up in the spool, some that were lightly hit
522. did this manually, and some that were very heavily hit no doubt
523. elected to shut down while dealing with it.  But the story that "IBM's
524. internal network was completely shutdown" is a myth, as far as I
525. know...  DC
526.  
527. ------------------------------
528.  
529. Date:    Tue, 17 Nov 92 08:38:29 -0500
530. From:    Bridget Rutty <SYSBXR@suvm.acs.syr.EDU>
531. Subject: Re: CHRISTMA Effects (CVP)
532.  
533. The CHRISTMA exec did NOT destroy itself after sending copies.  I
534. erased several from our users minidisks.  Also, I did not have to
535. shutdown our system.  I just listed all the reader files in the system
536. and purged any CHRISTMA exec I found.  But, there weren't many - I
537. forget exactly how many there were but it was less than a hundred.
538. Other sites merely drained their RSCS links (software that delivers
539. mail and files to other computers) while they cleaned up.  There may
540. have been some sites that found it necessary to shutdown but I have
541. not heard of any.  What really stopped the explosion of files was the
542. BITNET sites that installed a trap in RSCS to erase any CHRISTMA file
543. sent to it.  When installed in a few strategic nodes, this trap is
544. very effective at stopping this type of trojan horse.  Two more
545. attempts at distributing CHRISTMA were stopped as well as a couple of
546. others whose names I forget.  The defense is good enough that most
547. people aren't aware of the subsequent attacks.  I haven't seen any
548. attempts to distribute such trojans in a couple years.
549.  
550. Bridget Rutty                                        SYSBXR@SUVM.BITNET
551.  
552.  
553. ------------------------------
554.  
555. Date:    17 Nov 92 02:14:30 +0000
556. From:    ygoland@edison.SEAS.UCLA.EDU (The Jester)
557. Subject: Things that keep me awake at night
558.  
559. Silence. That is what I hear on this net.group. I hear silence.  There
560. is some discussion about a particular program's ability to detect a
561. virus and then there is the reason I still read this group, new
562. product announcements. But the one thing I'v never seen is a
563. discussion of the mechanics of fighting viruses. Is the viral world
564. satisfied with it's basic tools, scanner, activity/change monitor, and
565. heuristic analyizers? Is that the end? Are all of the people in the
566. community doing nothing more than comming up with new scan codes for
567. whatever virus has shown up this week, trying to understand the ugly
568. inards of some os so they can tweak their monitors a little better,
569. and trying to see yet another combination of code that only a virus
570. would use? Why is there no real discussion on techniques and ideas? Is
571. this part of the conspiracy of silence that infects the viral
572. community?
573.  
574.       Just curious,
575.             Yaron (The Jester) Goland
576. - --
577. RSA proved you could patent math, whats next? Fire?
578. "Sorry, you can't rub those two stones together!
579.    First is a Patented Process"
580.       -The Jester
581.  
582. ------------------------------
583.  
584. Date:    Tue, 17 Nov 92 05:58:41 +0000
585. From:    bob@psychnet.psychol.utas.edu.au (Robert G. Reid)
586. Subject: Australian anti-virus site
587.  
588. An small selection of current Anti-Virus software is once again
589. available for Australian net users (AARNET) at:
590.          ftp.psychol.utas.edu.au    (131.217.35.98).
591.  
592. Please address any correspondence re this facility to:
593.          bob@psychnet.psychol.utas.edu.au
594. - --
595. bob@psychnet.psychol.utas.edu.au <Robert Reid>
596.  
597. ------------------------------
598.  
599. Date:    Sat, 14 Nov 92 16:16:45 -0500
600. From:    tyetiser@umbc5.umbc.edu (Mr. Tarkan Yetiser)
601. Subject: Being forthcoming...
602.  
603.    Hello Aryeh,
604.  
605. mcafee@netcom.com (McAfee Associates) writes:
606. > Bugs can be fixed.  Bearing in mind that I am, after all, a McAfee
607. > Associates employee, I believe that McAfee Associates (and myself) have
608. > been very forthcoming to users about reporting bugs, fixing them, and
609. > suggesting workarounds while the bugs do get fixed.
610.  
611.    In keeping up with this tradition of open communications with your
612. users, would you please share with the readers of this newsgroup the
613. press release from McAfee Assoc., dated May 11, '92 and titled "Dark
614. Avenger Mutation Engine No Threat to Protected PCs", with the contact
615. name Mr. McKiernan?  Out of curiosity, is William McKiernan a McAfee
616. agent or employee?
617.  
618.    If the requested article is not posted here, curious individuals
619. can contact me by e-mail to get a copy of what I am talking about, and
620. judge for themselves the nature of the statements made there. I shall
621. not comment.
622.  
623. [Moderator's note: It is with great trepidation that I am approving
624. this message.  Gentlemen, before this gets out of hand, I want to
625. remind you both to keep this discussion civil.  Otherwise, you can
626. eliminate the middle man by forwarding any follow-ups directly to
627. /dev/null...  :-\]
628.  
629. Regards,
630. Tarkan Yetiser
631. VDS Advanced Research Group
632. P.O. Box 9393
633. Baltimore, MD 21228, U.S.A.
634. (410) 247-7117
635.  
636. ------------------------------
637.  
638. Date:    02 Nov 92 18:12:38 +0000
639. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
640. Subject: MtE detection tests (part 1/5) (PC)
641.  
642. Hello, everybody!
643.  
644. Here is the long awaited report about the MtE detection tests that we
645. performed at VTC-Hamburg.  It is rather longish, so maybe Ken should
646. consider splitting it into parts.  Normally, I should have put it for
647. anonymous ftp, instead of publishing it here, but the preliminary
648. results of the tests raised enough interest and discussions, so I
649. decided to publish it in a whole in this newsgroup.  Nevertheless, it
650. - - -is- available for anonymous ftp as
651.  
652. ftp.informatik.uni-hamburg.de:pub/virus/texts/tests/mtetests.zip
653.  
654. [Moderator's note: The complete text of Vesselin's MtE tests are also
655. available from:
656.       cert.org:pub/virus-l/docs/mtetests.zip
657. As I had previously indicated, I have broken Vesselin's tests down
658. into five parts and will post each seperately.]
659.  
660. Enjoy.  Comments, questions, and suggestions are welcome.
661.  
662. Regards,
663. Vesselin
664. - - --
665. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
666. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
667. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
668. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
669.  
670. =====
671.  
672. [part 1/5]
673.  
674.                          MtE Detection Tests
675.  
676. 1. What is the MtE and what is all this fuss about.
677.  
678. MtE stands for "MuTating Engine". This is a library routine, written
679. mostly by the Bulgarian virus writer known as Dark Avenger.  It comes
680. as an .OBJ file.  Every virus writer could simply link this routine to
681. his viruses.  He must also call the routine in a special way and this
682. will make the virus to which the MtE is linked extremely polymorphic.
683. That is, each new instance of the virus in each new infected file will
684. look differently.  This is achieved by encrypting the virus body,
685. using each time a different key.
686.  
687. The idea is not new - even the old Cascade virus does this.  However,
688. the virus must eventually execute itself, therefore it must decrypt
689. itself. Viruses like Cascade always have a small unencrypted part in
690. the beginning, called "decryptor". It's task is to decrypt the rest of
691. the virus body.
692.  
693. Because the major part of the virus body is differently encrypted each
694. time, no scan string can be selected from it - it just looks
695. differently in each infected file. However, one can pick a scan string
696. from the decryptor, because it is not encrypted and looks always in
697. the same way in all files. This is exactly how the scanners handle
698. viruses like Cascade.
699.  
700. The polymorphic viruses like Phoenix, Tequila, V2P6, etc. take the
701. self-garbling one step further. They also have an unencrypted
702. decryptor in the beginning, but the decryptor is not always one and
703. the same - the virus modifies it from one infection to another. Some
704. viruses make just simple modifications, so their decryptors can be
705. detected, using a wildcard scan string.  That is, a scan string that
706. can contain "don't care" bytes - indicating that the particular value
707. of that byte is not important.  The more polymorphic the virus, the
708. more difficult is to scan for it.
709.  
710. Some polymorphic viruses are so sophisticated, that it is not possible
711. to detect all forms of their decryptors, even if wildcard scan
712. strings are allowed...  Such viruses are V2P6, V2P6Z, and others.  In
713. order to detect them, the scanners must use a special, algorithmic
714. approach, specific to each particular virus.  This is very difficult
715. and time consuming, since the producer of the scanner must analyze
716. very carefully the polymorphic engine of each such virus, and figure
717. out what code it can generate, and write a special "detection engine"
718. to detect this code.  In general, the ability to detect extremely
719. polymorphic viruses reflects the quality of the R&D department of the
720. particular producer of anti-virus software.
721.  
722. The viruses that are using the MtE (we'll call them MtE-based viruses)
723. are extremely polymorphic. Much more than V2P6Z, for instance. And
724. there are still many scanners on  the market, that are unable to
725. detect reliably even this relatively old and simpler virus.
726. Furthermore, V2P6Z is relatively simple as virus - it is based on the
727. old Vienna virus and does essentially the same. It is not very
728. infectious, because it is nonresident and infects only COM files in
729. the current directory and in the directories listed in the PATH
730. variable. Since the MtE can be linked to any new virus, nothing
731. prevents the virus writers from writing extremely sophisticated,
732. infectious, and destructive viruses, that will be hard to scan for.
733.  
734. Fortunately, the MtE cannot be used to make an already existing virus
735. polymorphic. The virus has to be re-designed from scratch, in order to
736. make it MtE-aware. However, nothing prevents a virus writer from
737. writing a new virus (or modifying the source of an already existing
738. one) and to make it MtE-aware. Therefore, it is only a question of
739. time, before such viruses appear and are spread widely. That's why, it
740. is important that the currently existing scanners are able to detect
741. the MtE-based viruses reliably.
742.  
743. Currently only a few MtE-based viruses exist, and all of them are
744. either incredibly stupid, or buggy, or both.  Neither of them
745. represents a significant threat, and neither of them is able to spread
746. widely.  However, as explained above, detection of MtE-based viruses
747. is important, in general, therefore, detection of the currently
748. existing MtE-based viruses demonstrates an important ability of the
749. scanners.
750.  
751. Currently, the number of the scanners that claim to be able to detect
752. the MtE-based viruses is no more than 2-3 times the number of the
753. already existing MtE-based viruses... As we shall see below, the
754. number of them that are able to do this reliably, is even smaller.
755.  
756.  
757. ------------------------------
758.  
759. End of VIRUS-L Digest [Volume 5 Issue 185]
760. ******************************************
761.  
762.  
763.