home *** CD-ROM | disk | FTP | other *** search
/ Shareware 1 2 the Maxx / sw_1.zip / sw_1 / UTILS / TBAV501.ZIP / MTE.DOC < prev    next >
Text File  |  1992-07-20  |  4KB  |  107 lines
  1.  
  2. Documentation for MuTation Engine Algorithmic Virus Recognition module v2.3
  3. ---------------------------------------------------------------------------
  4.  
  5. --- MTE.AVR 2.3
  6.  
  7. Added some additional selectivity to avoid false alarms.
  8.  
  9. Unbelievable what that MTE-beast can do... Anyway, changed the MTE.AVR to
  10. process 80286 specific MTE-viruses too. I have my doubt however whether
  11. a 80286-only virus would be successfull anyway... To detect ALL 80286-
  12. specific MTE variants you need TbScan 4.1 or above.
  13.  
  14. --- MTE.AVR 2.2
  15.  
  16. Changed the MTE.AVR to process EXE files too.
  17.  
  18. Fine tuned the MTE.AVR a little to catch those few remaining samples too!
  19.  
  20. --- MTE.AVR 2.1
  21.  
  22. Due to my random generator, a few variants of the Mutation Engine did not
  23. appear in my test set that consisted of 200.000 MTE encrypted files.
  24.  
  25. This MTE.AVR has been modified to detect these few MTE-variants also.
  26. Thanks to Righard Zwienenberg for his "false negative" samples.
  27.  
  28. --- MTE.AVR 2.0
  29.  
  30. Note that the MTE.AVR series v1.x were written by another author.
  31. This MTE.AVR module has been written by Frans Veldman.
  32. To avoid confusion about the author, this MTE.AVR module has an initial
  33. version number starting with v2.0.
  34.  
  35. This should be the final MTE.AVR. The 1.x versions could be considered as
  36. emergency releases. They only found 85% of the Mutations, and they caused
  37. a lot of false alarms.
  38.  
  39. This MTE.AVR has been tested over 200.000 of mutants, and it detected
  40. them all. No false alarms occured. If you have a program that causes
  41. false alarm, please sent it to us.
  42.  
  43. --- MTE.AVR 1.x
  44.  
  45. The 1.x MTE.AVR versions are written by Edwin Cleton (SaeSoft).
  46.  
  47. ---
  48.  
  49. MTE 2.3
  50. =======
  51.  
  52. Copyright (C) 1992 ESaSS B.V. Nijmegen, The Netherlands.
  53.  
  54. Tel. +31-80-787881
  55. BBS. +31-85-212395 (2:280/200 @fidonet)
  56.  
  57. Frans Veldman
  58.  
  59. About MTE
  60. =========
  61.  
  62. MTE is a Mutation Engine, produced by some guy who calls himself
  63. 'Dark Avenger'. The Mutation Engine is some kind of toolkit which
  64. anbles the user to create (or even convert viruses into) viruses
  65. that modify themself upon every infection. The resulting viruses
  66. are not only self-mutating, but also hard to detect. The decryptor
  67. routine itself is built with random instructions. It is impossible
  68. to define something like a 'signature' to detect the mutation
  69. engine.
  70.  
  71. How can MTE be detected? Consider the following:
  72. -   The MTE random code has (unlike other programs) no special
  73.     purpose, except for confusion of researchers and scanners.
  74. -   The netto effect of the routine makes that some code will
  75.     be decrypted.
  76. -   The code behind the decryptor routine is encrypted, and
  77.     disassembly of this code results in several errors.
  78. -   The MTE routine lacks a lot of instructions which are
  79.     likely to appear in normal software.
  80. -   Any serious researcher determines in a glance whether a
  81.     file is infected or not if you supply him a disassembly.
  82.  
  83. How does MTE.AVR work? The MTE.AVR itself contains some kind of
  84. disassembler. This is really a great advantage over other
  85. detection algorithms like used by the other anti-virus products.
  86. By disassembling the code, the instructions will be clearly
  87. visible, without garbage like operands or immediate data.
  88.  
  89. MTE.AVR assumes that any file is infected with MTE. However,
  90. as soon as it disassembles an instruction that can not be
  91. generated by MTE, it clears the infection assumption and quits.
  92. There are quiet a lot of instructions which can not be generated
  93. by MTE, so in most cases the AVR module will quit within a few
  94. instructions.
  95.  
  96. If the disassembly can continue for a reasonable amount of time,
  97. and other conditions are met, the file is infected with MTE.
  98.  
  99. So far, only a few anti-virus products use a built-in disassembler
  100. to detect MTE (TbScan, HTScan and Gobbler II). Most other products
  101. have a lot of other rules defined, with the result that MTE will
  102. no longer be detected if the virus is not created with the
  103. default configuration of MTE. These viruses will be created soon,
  104. no doubt about that...
  105.  
  106. Needless to say, MTE.AVR detects them all!
  107.