home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / VIRUS / EVAL.TXT < prev    next >
Text File  |  1989-10-21  |  26KB  |  499 lines
  1.  
  2.                     Anti-Viral Product Evaluation
  3.                           May 5, 1989
  4.  
  5.      This evaluation paper has been written by Jim Goodwin, Lynn
  6. Marsh and Tim Sankary.  It is copyrighted, 1989, and is intended
  7. for circulation among fellow members of the virus research
  8. community who use IBM PCs or compatibles.  We do not consider it
  9. complete, since we did not evaluate every available product, and
  10. it is not intended as a public guide to selecting antiviral
  11. programs.  We hope, however, that it will prove useful to other
  12. members of the community who work with live viruses and need
  13. ongoing protection for their systems.  This document may be
  14. freely copied and distributed providing the disclaimer and
  15. copyright are kept intact, and no changes, additions or deletions
  16. are made to the text.
  17.      We would like to acknowledge the ample research data
  18. provided by Jim Bates and Rusty Davis in England, Ivan Grebert of
  19. Acal Corporation in Paris, Colin Haynes of the International
  20. Computer Virus Institute, and the many volunteer researchers from
  21. the Silicon Valley area that contributed so much to our efforts. 
  22. We would also like to acknowledge the HomeBase users group for
  23. providing their detailed log of infection occurrences and other
  24. epidemiological data.
  25.  
  26.   
  27. The Need for a Reasonable Evaluation:
  28.      In the April issue of PC Magazine you will find a review of
  29. 11 antiviral products.  The review, while well intentioned,
  30. tested products against only two viruses (plus one simulated
  31. virus that was developed by the magazine).  None of the viruses
  32. were boot sector infectors (viruses which attach to the boot
  33. sector) and none were among the most common viruses.  Since the
  34. vast majority of virus infections are boot sector infections, and
  35. since most viruses are much more difficult to detect than the two
  36. chosen, the results of the review were next to meaningless.  The
  37. PC Magazine review was similar to many others published in the
  38. past year.  It was performed without adequate access to the
  39. viruses actually causing problems in the user community.  
  40.      A second problem with these reviews, is that many of the
  41. reviewers have had limited experience with the broad range of
  42. infections that have occurred within the past 18 months.  They
  43. base evaluations on assumptions that do not hold for the real
  44. world.  This is not necessarily the fault of the reviewers. 
  45. Viruses are a new phenomenon and few people have dedicated their
  46. time and resources to a long term study.  A reviewer who has had
  47. experience with only one or two viruses might naturally draw
  48. incorrect conclusions about "generic" virus issues.
  49.      For example, a number of viruses infect programs using
  50. common DOS calls (interrupt 21 or other interrupt call).  This
  51. type of infection can be easily detected and prevented.  An
  52. entire class of products, called Filters, has grown up around the
  53. assumption that virus infections can be prevented by redirecting
  54. certain interrupts and intercepting the infection replication
  55. process. It works for a few viruses.  The vast majority of
  56. infections, though, are caused by viruses that use non-standard
  57. I/O, and these infections cannot be prevented through interrupt
  58. re-vectoring techniques.  Thus, filter type products - included
  59. among them are C-4 and Flu-Shot+ - are virtually useless against
  60. most viruses.  Yet many reviewers, and some product developers,
  61. still believe that viruses can be stopped through re-directing
  62. system interrupts.
  63.      
  64. The criteria:
  65.      A lot of time and effort has gone into the various checksum,
  66. encryption, logging and chaining algorithms proposed as safe
  67. techniques for detecting viruses.  And much discussion and
  68. argumentation has gone one regarding the various merits of high
  69. security algorithms.  Yet, every generic application infector
  70. that we have seen to date could have been detected by merely
  71. checking to see if the SIZE of the file had changed.  Developing
  72. such a virus detector requires less than an hour of programming
  73. time and is as effective as available products costing hundreds
  74. of dollars.   We're not suggesting that size checking should be
  75. the criteria for detecting viruses (we know better), we are
  76. merely pointing out the vast gulf between theory and current
  77. reality.  We understand that viruses of today may not reflect the
  78. situation two years from now, and we also understand that current
  79. boot sector viruses and certain operating system viruses pose a
  80. special case to our size example, but the first step in solving
  81. any problem must be a solid understanding of the current state of
  82. the problem.  And the current problem is in a different world
  83. from the theoretical solutions proposed for it.
  84.      An astute reader might ask at this point why we would be
  85. concerned if the proposed solutions to viruses were overkill. 
  86. Isn't it better, you might think, to include as much protection
  87. as is available, to get as close to 100% security as possible? 
  88. We think not.  Beta testing of virus products in many
  89. corporations and our own experience with these products over the
  90. past year has shown that, beyond a certain point of
  91. reasonableness, increased security functions begin to hinder the
  92. computing process.  Either increases in required run time, or
  93. user constraints or annoying additions to the system make the
  94. products so cumbersome to use that the user ultimately discards
  95. them.  Alternately, false alarms and questionable product
  96. conditions desensitize the user, and thus real virus alarms, when
  97. they occur, are disregarded.
  98.      Again, we are not saying that sound security principles
  99. should not be included in a given product.  We are only
  100. suggesting that the search for the 100% solution must have its
  101. limits.  The theoretical discussions about batch file viruses,
  102. viruses that can imbed themselves within a program without
  103. changing initial branch addresses, and viruses that can infect
  104. without making any modifications to a program are interesting and
  105. entertaining.  But if you are selecting a product based on the
  106. ability to detect such viruses, then you will be disappointed.
  107.      In general then, our criteria for evaluating antiviral
  108. programs are:
  109.  
  110.      1.   The program's effectiveness against existing viruses. 
  111.           There are anywhere from two dozen to over 50 different
  112.           PC viruses (depending on how you classify them) that
  113.           can infect your system today.  If the product cannot
  114.           detect these viruses, then it certainly cannot detect
  115.           tomorrow's viruses.  We rated this criteria the
  116.           highest.
  117.  
  118.      2.   The techniques used by the program to anticipate new
  119.           viruses.  We have to admit to some subjectivity here. 
  120.           No-one really knows what virus may pop up tomorrow, but
  121.           reasonable people can make reasonable guesses (Tim
  122.           Sankary is the only member of this review team who
  123.           admits to being unreasonable).  We do expect to see
  124.           viruses in the next few years that can imbed themselves
  125.           inside a generic COM or EXE program without changing
  126.           its size.  We anticipate system infectors and other
  127.           program-specific viruses that can imbed themselves AND
  128.           not change initial branch instructions.  (We feel these
  129.           viruses, however, will be limited to common programs
  130.           such as IBMBIO, IBMSYS, COMMAND.COM etc.).  We
  131.           anticipate viruses that will encrypt themselves in such
  132.           a way that every infection will be different (1704
  133.           nearly achieves that now).  We anticipate boot sector
  134.           viruses that will not need to save and execute the
  135.           original boot sector.  We also expect viruses that will
  136.           entirely replace system modules, such as the command
  137.           interpreter.
  138.  
  139.      3.   The usability of the software.  This is the most
  140.           subjective criteria and we accordingly weighted it the
  141.           least.  We decided, however, that if we felt like
  142.           screaming, smashing the monitor or savagely beating the
  143.           family pets while trying to install or use t