home *** CD-ROM | disk | FTP | other *** search
/ TopWare Tools / TOOLS.iso / tools / top1534 / whitepa.per < prev   
Encoding:
Text File  |  1993-06-11  |  38.8 KB  |  977 lines
  1.                                                                   
  2.            Adaptive Expert System Anti-Virus Technology
  3.                                  
  4.                                  
  5.                                  
  6.                                  
  7.                                  
  8.                                  
  9.                                  
  10.                                  
  11.                                  
  12.                                  
  13.                                  
  14.                                  
  15.                                  
  16.              A White Paper prepared by Troy C. Klein,
  17.                 Product Manager for InVircible(r)
  18.                                  
  19.                                  
  20.                            June 11, 1993
  21.                                  
  22.  
  23.  
  24.  
  25.  
  26.  
  27.  
  28.  
  29.  
  30.  
  31.  
  32.  
  33.  
  34.  
  35.  
  36.  
  37.  
  38.  
  39.  
  40.  
  41. Copyright (c)  1992,1993      NetZ Computing, Ltd.,
  42.                               S.C.C., and Tayzen Corporation.
  43.  
  44.  
  45.                           - 1 -
  46.                                                                   
  47. Adaptive Expert System Anti-Virus Technology
  48.  
  49.  
  50.  
  51. The purpose of this paper is to introduce to the
  52. reader the Adaptive Expert System (AES) anti-virus
  53. concept.  The AES concept incorporates the ability
  54. to detect, locate, and remove unknown viruses.
  55. This is an alternative to the ubiquitous Virus
  56. Scanner and TSR technology (VS-TSR) which is
  57. limited to processing virus signatures known at
  58. the time of a product's release.  The AES
  59. technology is more efficient, is extremely
  60. difficult to compromise, is non-intrusive, and is
  61. actually user friendly.  As a bonus, you avoid the
  62. requirement of VS-TSR products that the user
  63. perpetually pay for updates that are ineffective.
  64. AES technology is much more sophisticated than VS-TSR 
  65. technology because AES technology emphasizes
  66. protection against viruses without altering memory
  67. usage, disk files, or customary usage patterns of
  68. a computer.  AES technology is able to accurately
  69. and completely restore 99.99+% of all virus-infected 
  70. executables that AES is protecting, and detect most 
  71. of the rest!
  72.  
  73.  
  74. Historical Background
  75. ---------------------
  76.  
  77. The introduction of AES by NetZ Computing Ltd. of
  78. Israel (NetZ) in September 1990 introduced
  79. heuristic capabilities to anti-virus technology.
  80. The product that NetZ released in 1990 with
  81. introductions in Israel and France was V-Care(tm),
  82. featuring the VGUARD AES.  The XSCAN AES enhanced
  83. V-Care in December 1990.  The introduction of V-Care 
  84. in the U.S.A. occurred in November 1991.
  85. VGUARD(tm) is unsurpassed in the detection and
  86. disinfection of virus attacks in the three known
  87. virus classes:  Boot Sector, FAT/Directory, and
  88. Executables.   XSCAN is unique in being able to
  89. locate the primary infection executables, even if
  90. one or more of the virus-introducing files are on
  91. a remote network drive and even if the viruses
  92. have never before been identified.  The V-Care
  93. product was renamed InVircible(r) in late 1992
  94. for worldwide marketing and distribution purposes.
  95.  
  96. NetZ 's pioneering contribution to the anti-virus
  97. effort was to transcend the VS-TSR technology that
  98. relied on CRCs or checksums.  The superior AES
  99. technology instead uses header-based validation
  100. signatures and sophisticated analyses of evidence
  101. of virus activity. Header-based signatures are a
  102. very reliable and effective technique for the
  103. detection of viruses, and provide an efficient
  104. mechanism for the complete restoration of infected
  105. executable files with no need to identify the
  106. specific infecting virus.  NetZ's header-based
  107. signatures file recovery methodology was presented
  108. to the NCSA/AVPD conference held in Washington,
  109. D.C., in November 1991.
  110.  
  111. After NetZ's introduction of AES technology in
  112. September 1990, other anti-virus packages have
  113. been unsuccessful in attempting to emulate various
  114. aspects of NetZ's AES technology.  NetZ still has
  115. the only anti-virus core technology that continues
  116. to be completely effective since its introduction.
  117. Users who obtained V-Care in September 1990 are
  118. still fully protected against the three known
  119. virus classes 32 months later, a track record of
  120. effectiveness no other distributed product is able
  121. to match.  The continued effectiveness of the
  122. September 1990 V-Care covers virus categories not
  123. yet identified when V-Care was introduced.  These
  124. categories include the polymorphic, mutating, and
  125. encrypting viruses.  Like the Energizer(tm) bunny,
  126. NetZ's AES technology keeps working and working.
  127.  
  128. By the end of 1991, NetZ enhanced the techniques
  129. that handle stealthy viruses to simplify recovery
  130. from the 1963 and the DIR-2 viruses.  The enhanced
  131. technique known as Inverse-Piggybacking is
  132. incorporated into the VGUARD AES.  The Hyper-Correlator 
  133. enhanced technique for locating primary
  134. infection executables is incorporated into the
  135. XSCAN AES.  Inverse-Piggybacking is described
  136. later on in this paper.
  137.  
  138.  
  139.                           - 2 -
  140.  
  141. To understand the practical benefits of the AES
  142. anti-virus paradigm, we will first review the
  143. characteristics of the earlier VS-TSR technology.
  144. This review includes coverage of the innate risks
  145. in continuing to use VS-TSR technology.
  146.  
  147.  
  148. Evaluating and Comparing the Performance of Anti-Virus Software
  149. ---------------------------------------------------------------
  150.  
  151. Evaluating anti-virus products is not a simple
  152. exercise.  Software packages may usually be
  153. examined by providing appropriate inputs and
  154. determining whether the resulting activities,
  155. results, and outputs are produced accurately and
  156. efficiently.  Evaluating anti-virus software is
  157. somewhat problematic, since testing with an
  158. inadequate product may let loose a virus with less
  159. than benign intent.  An inadequate product may not
  160. only give false positives, but will give false
  161. negatives if it is unable to detect all viruses.
  162. False positives are possibly more troublesome than
  163. false negatives, because mis-identification may
  164. cause the anti-virus product to undertake
  165. inappropriate remedial actions.  For users without
  166. a controlled environment for testing anti-virus
  167. products, what criteria are the best for making a
  168. decision on which anti-virus software to obtain?
  169. Are all anti-virus products based on the same
  170. technology?  Does the "number" of viruses known to
  171. an anti-virus product really matter?  This paper
  172. addresses these questions by comparing the AES
  173. technology of InVircible and the VS-TSR technology
  174. of other anti-virus packages.
  175.  
  176. There are two basic approaches to anti-virus
  177. technology.  The first approach is based on the
  178. assumption that viruses may be identified by an
  179. invariant sequence of bytes, or signature, before
  180. transfer to a computer's memory, diskettes, or
  181. hard disk (VS-TSR technology).  VS-TSR is based on
  182. the premise that viruses may be prevented from
  183. transferring into a computer's memory by pre-identification.  
  184. The VS-TSR approach also presumes
  185. that identification of viruses facilitates
  186. surgical removal once a virus is known.  The
  187. second approach of AES technology is based on 
  188. the premise that virus activity, not identification,
  189. is the mechanism by which any virus' presence may
  190. be detected and removed.  AES analyzes viruses by
  191. class (Boot Sector, DIR/FAT, or Executable) with
  192. the classification based on the characteristics of
  193. the virus in the user's computer.
  194.  
  195. VS-TSR technology assumes that you may prevent an
  196. infection by preventing entry of a virus.  This
  197. assumption is idealistic, because unknown viruses
  198. may enter a computer by many avenues, specifically
  199. any hardware with memory with which the computer
  200. is built or exposed to.  Viruses may have infected
  201. executables on hard drives, floppy drives, tape
  202. backups, and so on.  Purchasers of software are
  203. also never assured of virus-free diskettes, even
  204. from recognized brand name software manufacturers.
  205. With luck, a simple virus may be absolutely and
  206. positively identified if the virus is known due to
  207. its affecting someone else's computer first.
  208.  
  209. AES technology on the other hand acknowledges that
  210. pre-identification of viruses will never be 100%,
  211. meaning that 100% effective prevention of virus
  212. infection is also unattainable!  AES is structured
  213. to accurately do a complete restoration of virus
  214. infected systems and to locate the executables
  215. harboring the original infection without ever
  216. needing to know the identity of the virus.  VS-TSR
  217. systems may be able to detect many secondary
  218. infected executables and some primary infected
  219. executables.  However, the VS-TSR systems are
  220. unable to locate all infected executables with
  221. secondary infections unless the primary infected
  222. executables harbor only known viruses.
  223.  
  224.  
  225.                           - 3 -
  226.  
  227. The VS-TSR products face the daunting prospects
  228. of:
  229.  
  230.   >  identifying the increasing number of variants
  231.      (in both data and logic) of existing viruses,
  232.   >  the appearance of stealthy viruses that falsify
  233.      information reported by DOS,
  234.   >  the appearance of viruses that piggy-back on
  235.      programs that open and close many files (such as
  236.      anti-virus scanners),
  237.   >  the appearance of viruses the mutate themselves
  238.      or create mutations in their progeny,
  239.   >  the appearance of polymorphic viruses that are
  240.      able to select different scenarios that trigger
  241.      malevolent behavior and reproduction,
  242.   >  the appearance of viruses able to encrypt their
  243.      infections,
  244.   >  the appearance of viruses able to hijack TSRs,
  245.   >  the appearance of viruses able to build actual
  246.      virus instructions using innocuous code
  247.      sequences, and
  248.   >  the appearance of virus-writing software engines
  249.      (some with elaborate  "user-friendly" GUI interfaces).
  250.  
  251. Accordingly, the VS-TSR approach of relying on
  252. preemptive identification is increasingly
  253. ineffective and even dangerous if removal is
  254. attempted after mis-identification for a known
  255. virus.  Catastrophic damage is very likely to
  256. occur if removal of any virus is based on a
  257. removal technique for another virus.
  258.  
  259. How does AES technology rate in comparison with VS-TSR 
  260. technology?  What are valid criteria for
  261. evaluating the effectiveness of anti-virus
  262. technology?  Many rating schemes for VS-TSR
  263. products are based solely on the ability to detect
  264. the limited number of known viruses available to
  265. the rating organization.  The VS-TSR motivated
  266. rating schemes are insufficient to validly measure
  267. the power of AES technology that is not limited
  268. simply to the detection of known viruses.  To take
  269. the measure of AES technology, a more
  270. comprehensive and rigorous rating scheme is
  271. essential.  A tougher standard that AES technology
  272. meets is the scientific principal that it is
  273. better science to assume an assertion is invalid
  274. if any exception exists.
  275.  
  276. Using that tougher scientific standard, the
  277. assertion that AES technology is completely
  278. effective measures up.  Whether AES and VS-TSR
  279. technology are compared on the basis of detection
  280. of known viruses, on technical design, or on an
  281. ability to handle unknown viruses -- the technical
  282. superiority of AES technology remains evident.
  283. While looking at the following examination of AES
  284. and VS-TSR technology, note that the InVircible
  285. implementation of AES technology has an empty list
  286. of viruses that have been undetected, i.e.,
  287. InVircible has yet to meet a virus it couldn't
  288. handle.  VS-TSR technology on the other hand has
  289. focused on the easier task of increasing the
  290. number of detectable and known viruses.
  291.  
  292. A brief study of VS-TSR versus AES technology was
  293. undertaken in November 1992.  A representative 
  294. VS-TSR product with considerable marketing exposure
  295. was used for tests to validate concerns about 
  296. VS-TSR products.  This product's accompanying
  297. literature revealed that only about 10%  of the
  298. viruses it claims to identify are removable.
  299. Since actual tests are more illustrative than any
  300. claims, the representative VS-TSR product and
  301. InVircible (as the representative of AES
  302. technology) were tested for accuracy of virus
  303. identification and virus removal.
  304.  
  305.  
  306.                           - 4 -
  307.  
  308. Four viruses were used in the comparison of VS-TSR
  309. and AES:  Timor, Net Crasher, DIR-2, and MTE.
  310. Timor, a variant of the classic Jerusalem
  311. parasitic resident generic file infector virus,
  312. was captured at a site in Portugal.  Net Crasher,
  313. a virus derived from the Vienna parasitic 
  314. non-resident ".COM" infector virus, was captured 
  315. days before the comparison tests at the 
  316. American-Israeli Paper Mills in November 1992.  
  317. DIR-2 is a common resident directory infector virus.  
  318. MTE is a parasitic non-resident ".COM" infector virus
  319. with an embedded polymorphic encryption engine in
  320. the virus.
  321.  
  322. The representative VS-TSR scanner first 
  323. mis-identified Timor as Jerusalem or virus 1241 (it
  324. could not decide).  If this scanner had attempted
  325. to disinfect based on the assumption of Jerusalem
  326. or 1241, the "restored" files would not have been
  327. correctly restored.  The VS-TSR scanner was then
  328. shown Net Crasher, which it incorrectly identified
  329. as Parasite.  On the basis of the identification
  330. of Parasite, the scanner asked for and received
  331. permission to take the dramatic step of
  332. overwriting and then erasing the infected
  333. executables.  Not only were the identifications of
  334. Timor and Net Crasher incorrect, no restoration
  335. was available.  In comparison, the AES InVircible
  336. detected that the executables were infected by
  337. Timor and Net Crasher, and then received
  338. permission to restore completely and accurately
  339. the executables.  InVircible even detected that
  340. the executables recovered from Net Crasher have
  341. three bytes of the file overwritten at random!
  342.  
  343. For the DIR-2  tests, the DIR-2 virus was
  344. permitted to damage the directories of a DOS 5.0
  345. formatted hard disk.  Since DIR-2 "locks up" a PC,
  346. rebooting was done from a floppy drive using a DOS
  347. 3.3x bootable diskette.  After DIR-2 executions
  348. under DOS 5.0 and DOS 3.3x, every executable file
  349. in every directory on the hard disk was cross-linked 
  350. into a common cluster.  The root directory
  351. files became cross-linked as well.  The VS-TSR
  352. scanner incorrectly identified that every file was
  353. infected with Tequila instead of DIR-2.  The VS-TSR 
  354. scanner's attempt to remove Tequila instead of
  355. DIR-2 caused such extensive damage to low-level
  356. formatting that the hard disk had to be
  357. reformatted with low-level formatting tools
  358. typically available only to disk manufacturers.
  359. The hard disk was low-level formatted and then
  360. returned to the DIR-2 damaged state from which it
  361. was then quickly restored and disinfected by the
  362. InVircible Inverse-Piggybacking technique.  The
  363. restoration was exact and complete; no symptoms
  364. then remained to indicate that a DIR-2 infection
  365. had ever been present.
  366.  
  367. The fourth test was the MTE virus.  This
  368. polymorphic virus was mis-identified by the VS-TSR
  369. scanner as Pogue or at other times identified as
  370. Dame (an alias for MTE)  depending on which
  371. iteration of the MTE virus it was looking at.  The
  372. scanner's suggestion was to delete the files with
  373. the infection, having no removal algorithm.
  374. InVircible, when presented with the infected
  375. files, quickly and accurately restored the
  376. executables infected with MTE.
  377.  
  378.  
  379.                           - 5 -
  380.  
  381. Experiences with other VS-TSR products are
  382. similar.  VS-TSR products are unable to identify
  383. all known viruses accurately, they do not have
  384. disinfection capabilities for all viruses that
  385. they can identify, they often confuse distant
  386. variants with the original virus, and they do not
  387. have the ability to remove the infections that
  388. they are willing to attempt with precision and
  389. completeness.  The numbers of viruses have
  390. increased to a large enough population so that the
  391. number of signatures is now a problem for VS-TSRs.
  392. Users prefer not to give up more of the limited
  393. 640Kb of memory address space that DOS to
  394. accommodate a bigger online virus signature
  395. library.  So, VS-TSRs are beginning to choose
  396. between completeness, memory requirements, and
  397. speed.  This is resulting in the intentional
  398. omission of some known virus signatures from 
  399. VS-TSR signature libraries.  Some of the same
  400. products that are now deliberately not including
  401. virus signatures previously implied comprehensive
  402. coverage via virus signature counts.
  403.  
  404. Previous attempts at comprehensive coverage of
  405. virus signatures are being replaced by subjective
  406. inclusion rules.  This may not be reassuring to
  407. someone attacked by a virus that is no longer in
  408. the repertory of the VS-TSR product.  In contrast,
  409. InVircible's AES technology is uninvolved with
  410. virus signature libraries.  InVircible has a built-in 
  411. feature that enables it to capture the entire
  412. virus (logic and data) as a by-product of doing
  413. the normal 100% AES restoration of a virus
  414. infected executable.  This facility captures many
  415. previously unidentified virus candidates for
  416. inclusion in the VS-TSR signature libraries -- if
  417. there is room for them in the online VS-TSR
  418. signature libraries.
  419.  
  420. Using our self-imposed very tough scientific
  421. standard for effectiveness, there has not been one
  422. report that any virus has escaped detection by the
  423. InVircible AES technology.  In comparison, there
  424. are many circumstances where VS-TSR technology has
  425. proved to be inherently unreliable for the
  426. detection of viruses.  The correct restoration of
  427. any infected executable is outside of VS-TSR
  428. technological capabilities.
  429.  
  430.  
  431. What are AES Anti-Virus Techniques?
  432. -----------------------------------
  433.  
  434. The most fundamental characteristic of a
  435. successful computer virus is its ability to
  436. replicate and propagate into other programs or
  437. computers.  In many cases this is the only thing a
  438. virus does.  The replication and propagation
  439. characteristics of viruses form the basis for
  440. detection and analysis of virus activity by AES
  441. technology.  There are no other computer programs
  442. that behave this way and any logic module
  443. exhibiting this behavior is a priori a virus.
  444.  
  445. The dictionary defines "generic" as,
  446. "characteristic of a genus or class, applied to a
  447. large group or class, not specific".  "Heuristic"
  448. is dictionary defined as, "a method of education
  449. or computer programming in which the pupil or
  450. machine proceeds along empirical lines, using
  451. rules of thumb, to find solutions or answers."
  452. AES technology is both generic and heuristic.
  453.  
  454. Non-specific generic techniques have been applied
  455. for many years in an area where getting it right
  456. is of deadly crucial importance.  These techniques
  457. have been applied for more than 30 years in
  458. electronic warfare where waiting for precise
  459. identification of an opposing submarine or
  460. aircraft can have unfortunate consequences.  The
  461. effectiveness of the ECM (Electronic Counter
  462. Measures) techniques in the real world of military
  463. confrontation lead to their inclusion in 1989 by
  464. NetZ into the AES InVircible predecessor V-Care.
  465.  
  466.  
  467.                           - 6 -
  468.  
  469. The incorporation of heuristic techniques by NetZ
  470. advances the effectiveness of AES technology.
  471. Heuristic techniques look at combinations of
  472. expert rules, with the exact combinations used
  473. determined by the environment that AES operates
  474. in.   It is unreliable to presume that any subset
  475. of independently applied rules is sufficient to
  476. decide whether an executable is virus-infected or
  477. virus-free.  AES looks beyond the obvious 
  478. one-dimensional indicators of virus infection and
  479. activity with multi-dimensional analyses that
  480. identify secondary, tertiary, and so on
  481. indicators.  A distinct handicap of VS-TSR for the
  482. PC user is that the fixed analysis strategy of
  483. VS-TSR products is predictable and may be
  484. circumvented.  AES technology is unlikely to ever
  485. be circumvented (it is inappropriate to say never
  486. circumvented).  The generic and heuristic 
  487. anti-virus techniques of AES are based on the 
  488. innate properties of viruses themselves and take
  489. advantage of these properties for the detection
  490. and removal of viruses.
  491.  
  492.  
  493. Virus Detection Strategies -- Active and Passive Sensing of Virus Behavior
  494. --------------------------------------------------------------------------
  495.  
  496. AES technology uses both active and passive
  497. techniques to detect viruses with generic and
  498. heuristic methods.  Active detection is done by
  499. sensing viral behavior using detectable behaviors
  500. and side-effects of the virus itself.  Passive
  501. detection is based primarily on differential
  502. detection which is also known as integrity monitoring.
  503.  
  504. Active detection is based on the premise that
  505. certain phenomena are attributable only to
  506. viruses.  InVircible AES technology uses three
  507. primary phenomena that indicate the presence of a
  508. virus: memory stealing, the change in size of an
  509. executable file, and the occurrence of
  510. piggybacking.  Alterations to an executable file
  511. are not sufficient to indicate the presence of a
  512. virus, because a benign process may plausibly
  513. alter executable files.  For example, while having
  514. an executable do self-modification is not an ideal
  515. programming practice, self-modification is still
  516. often used by software developers instead of using
  517. a separate information (".INI") file.   Each of
  518. the three mentioned primary phenomenon is a
  519. reliable indicator of potential non-benign
  520. activity in the system.  Many viruses disclose
  521. their presence by exhibiting more than one of the
  522. mentioned phenomena.
  523.  
  524. Boot or partition infectors often avoid being
  525. overwritten in memory by an application by
  526. subverting DOS memory reporting functions -- which
  527. is called "memory stealing".  Other classes of
  528. virus infectors do the same, for example, the
  529. Maltese Amoeba whose activities are detected by
  530. inferring memory stealing activity.
  531.  
  532. An elementary anti-virus technique for detecting
  533. file-infecting viruses is to create ".COM" or
  534. ".EXE" files that are designed to entice the 
  535. file-infecting virus to attack, thus changing the size
  536. of the infected executable.  Non-stealth viruses
  537. may be revealed by this technique.  Stealthy
  538. viruses are able to conceal their attack on
  539. fabricated executables and go undetected from the
  540. "bait" executable strategy.   Stealthy viruses
  541. escape detection by subverting DOS's reporting
  542. functions that indicate the size of executables,
  543. and so on.  InVircible makes use of the Stealthy
  544. virus subversion of DOS reporting functions in a
  545. technique developed by NetZ called Inverse-Piggybacking.  
  546. Inverse-Piggybacking forces the
  547. virus to play the "Pied Piper" to InVircible,
  548. showing InVircible which executables are infected.
  549.  
  550.  
  551.                           - 7 -
  552.  
  553. Piggybacking viruses are some of the most
  554. problematic of viruses for VS-TSRs.  Many of the
  555. more common and successful viruses are
  556. piggybackers.  Some of the more well known
  557. piggyback viruses are Dark-Avenger (an alias is
  558. Eddie), 4096, Irish, Haifa and 1963.  New
  559. piggybackers enjoy many months of freedom from VS-TSRs, 
  560. because they have an unknown virus signature
  561. and they are spread by VS-TSRs as the VS-TSR
  562. conveniently scans through all of a PC's files.  A
  563. new piggybacker virus enjoys several months of
  564. anonymity after it emerges, allowing the
  565. piggybacker virus to go undetected by VS-TSRs and
  566. propagate extremely quickly, sometimes with
  567. assistance from VS-TSRs.  For example, the
  568. worldwide distribution of 4096 was facilitated by
  569. a VS-TSR.
  570.  
  571. There are two characteristics of scanners that
  572. promote them as major target vehicles for
  573. piggybacking viruses.  First, virus scanners are
  574. the quintessential programs that access every
  575. single executable file on a disk.  This paves the
  576. way for smart viruses to infect every file using
  577. the scanner as a convenient file opener and
  578. closer.  Historically, VS-TSRs have not been
  579. piggyback-resistant to unknown piggybacking
  580. viruses.  AES techniques are able to detect and
  581. remove piggybacking viruses because these viruses
  582. fall into one of the three known classes of
  583. viruses.  Piggybacking resistance was proposed at
  584. the November 1991 NCSA/AVPD conference as a
  585. recommended safety requirement for AV scanning
  586. products.  Effective implementation of this
  587. recommendation by VS-TSRs under all possible
  588. conditions has proved elusive.
  589.  
  590.  
  591. Header-Based Signatures for Integrity Monitoring and Recovery
  592. -------------------------------------------------------------
  593.  
  594. By definition, files that are infected by viruses
  595. are modified.  By monitoring the integrity of
  596. executable files, infections by unknown viruses
  597. are detectable.  Several approaches that are used
  598. by some anti-virus products include two file
  599. modification detectors:  checksums and CRCs.
  600. Neither of these two techniques is guaranteed to
  601. be effective in detecting virus modifications.
  602. Files are often modified by both benign procedures
  603. and by viruses, so checksums (with a CRC defined
  604. as a more complicated checksum) are unreliable as
  605. a method of detecting malicious changes to a file
  606. without numerous false alarms.  The number of
  607. benign exceptions is so large that checksum
  608. integrity validation is not a reliable anti-virus
  609. technique.  As a benign example, any alteration of
  610. the version table of the DOS 5.0 SETVER program
  611. will change the SETVER.EXE file's checksum.
  612. Similar examples of self-modifying executables are
  613. provided by many word processors or compilers.
  614.  
  615. No combination of exotic and complex calculations
  616. improves the effectiveness of checksums for 
  617. anti-virus usage.  Checksum strategies yield too many
  618. false-positives and they are easily compromised by
  619. a virus writer who replicates the checksum
  620. algorithm.  Checksums at best may be of use to
  621. assure that the file is not a replacement of an
  622. older file bearing the same name, or that a malicious 
  623. virus has not overwritten part of the file.
  624.  
  625.  
  626.                           - 8 -
  627.  
  628. Other anti-virus programs have used another 
  629. less-than-desirable technique of incorporating data
  630. into the executable as an "immunizing shell".  The
  631. "jacket immunization" process involves the
  632. addition (a virus-like activity!) of 700 to 1500
  633. bytes to each executable file as a protective
  634. shell.  When a jacket immunized and infected file
  635. is executed, the protective shell ideally discards
  636. the implanted virus code and restores the file.
  637. Jacket immunization has three major drawbacks:
  638. >  it is ineffective against stealthy viruses,
  639. >  there are programs that do not tolerate an
  640.    immunizing shell, with the DOS 5.0 SETVER.EXE
  641.    program especially disrupted, and
  642. >  last and least desirable, the requirement that
  643.    the infected file must be executed in order to
  644.    drop the virus.
  645.  
  646. There is a much faster, simpler, and more reliable
  647. way to indicate that a file has been modified by a
  648. virus using header-based integrity monitoring
  649. signatures.  The header of an executable file is
  650. found in the first few bytes of an ".EXE" file or
  651. ".COM" file.  All file infector viruses modify
  652. this portion of the executable file, with the
  653. exception of the Emmie virus.  The header and a
  654. few other parameters provide sufficient
  655. information for AES technology to detect a virus
  656. infection and then completely and accurately
  657. restore infected executable files (with the
  658. identity of the virus involved effectively irrelevant).
  659.  
  660. In contrast, the algorithmic removal of a virus
  661. from a file by a scanner fundamentally depends on
  662. the exact identification of the virus, the
  663. extraction of the original header from the virus
  664. code, the reconstruction of the header, and
  665. finally the eradication or truncation of the virus
  666. code from the file.  In brief, it is the
  667. application of a matched inverse algorithm to the
  668. executable file.  Each particular virus requires a
  669. unique algorithm for the eradication of the virus.
  670. The development of these unique eradication
  671. algorithms is becoming increasingly impossible to
  672. do in a timely manner.  In contrast, AES
  673. technology uses multiple techniques to assure that
  674. strategic parts of an executable file are
  675. unchanged rather than to have faith in customized
  676. virus removal algorithms.  The increasing number
  677. of closely related viruses and the appearance of
  678. polymorphic viruses makes assured recovery by
  679. scanner an unlikely event.
  680.  
  681. Header-based restoration of executable files skips
  682. the virus identification of VS-TSRs.  Restoration
  683. using header-based signatures is a superior
  684. alternative to the  jacket immunization technique
  685. used in some AV products.  Restoring an infected
  686. file via a protective shell provides a convenient
  687. platform for a virus to infect other files.  With
  688. the VS-TSR drawbacks and the availability of a
  689. very robust and successful alternative with AES
  690. technology, why use immunization?  Of all the
  691. products that practiced immunization in the past,
  692. only one continues to use it.
  693.  
  694.  
  695. Piggybacking and Inverse-Piggybacking
  696. -------------------------------------
  697.  
  698. Full Stealth viruses were introduced with the
  699. appearance of Frodo.  Frodo (an alias for 4096) is
  700. the first known virus that exhibited what is
  701. called full stealth virus behavior that is
  702. different from semi-stealth virus behavior.  A
  703. common property of full stealth viruses is that
  704. when a full stealth virus infected file is copied
  705. to another file with a non executable extension
  706. name, the copy is clean of the full stealth virus.
  707.  
  708.  
  709.                           - 9 -
  710.  
  711. Frodo instigated the development of the Inverse-
  712. Piggybacking AES technique.   Inverse-Piggybacking
  713. does not copy the processed file to another
  714. filename but rather swaps roles between the
  715. application and the virus.  The virus is in effect
  716. piggybacked by the AES anti-virus program and it
  717. is in fact the virus itself that guides the
  718. disinfection of all files previously infected by
  719. that same virus!  Inverse-Piggybacking turns out
  720. to be efficient against all known fully stealthy
  721. file infectors such as Whale, 1963, DIR-2 and
  722. others.  Inverse-Piggybacking provides a quick,
  723. efficient, and comprehensive method for dealing
  724. with the otherwise problematic DIR-2 virus.
  725.  
  726. Inverse-Piggybacking is extremely effective and
  727. efficient and is the only way to restore 
  728. virus-infected hard disks that would otherwise be
  729. recoverable only by low-level reformatting due to
  730. scrambling of the partition FAT table and likely
  731. corruption of the bad-sector table.  
  732. Inverse-Piggybacking is also much safer than passive
  733. removal of some viruses, 1963 for example.
  734.  
  735. A special and interesting case is the DIR-2 virus
  736. mentioned earlier in this paper. In many cases,
  737. passive virus scanners will not show a DIR-2
  738. infection, but the DOS CHKDSK command will
  739. indicate the appearance of cross-linking.  CHKDSK
  740. only indicates a problem; the user is left to
  741. wonder what actually happened to the hard disk.
  742. Damage caused by a specific full-stealthy virus
  743. will usually be recovered fully by Inverse
  744. Piggybacking when the same virus that caused the
  745. damage is resident in the computer memory.
  746.  
  747.  
  748. Restoration of computers that are already infected prior to 
  749.    installation of an AES product like InVircible
  750. -----------------------------------------------------------
  751.  
  752. First, InVircible does have an excellent virus
  753. scanner that knows all of the most common and
  754. widespread viruses that may be safely removed
  755. without knowing the status of an executable before
  756. an infection.  The AES scanner does not need to be
  757. updated frequently since it is a secondary tool,
  758. and the number of common viruses is far fewer than
  759. 1700 or so known viruses.
  760.  
  761. Second, the InVircible virus code hyper-correlator
  762. AES program XSCAN may be used to track down
  763. infected files, even those infected by encrypted
  764. viruses.  The hyper-correlator is able to list and
  765. remove all files infected by an unidentified virus.
  766.  
  767.  
  768. AES Generic Heuristic versus VS-TSR Technology -- A Summary
  769. -----------------------------------------------------------
  770.  
  771. Two factors are important in the comparison of AES technology
  772. versus VS-TSR technology.   First, viruses will
  773. continue to be written in larger numbers, although
  774. probably not at the apocalyptic rates predicted by
  775. some prognosticators.  Yet, this proliferation
  776. increases the likelihood that computers will be
  777. infected by viruses not previously identified by
  778. some other unfortunate user.  Preparing for the
  779. virus problem requires that the tools used are
  780. capable of dealing with unknown viruses that may
  781. not even exist today.
  782.  
  783.  
  784.                           - 10 -
  785.  
  786. Second, the most widespread and common viruses are
  787. initially non-destructive since they need the
  788. opportunity to spread.  The fact that a virus 
  789. (or its progeny) has become widespread indicates that
  790. it has not destroyed itself in the reproduction
  791. process, and that it has not been caught and
  792. removed.  A destructive virus inherently betrays
  793. its own presence and will lose its chances to
  794. propagate.   This rule -- The Survival Of The
  795. Fittest of computer viruses -- has been repeatedly
  796. proven with all common and widespread viruses
  797. known today and is fundamental to understanding
  798. the persistence of the computer virus problem.
  799. Viruses can be dealt with in a safe and effective
  800. manner even after a computer is infected.
  801.  
  802. Consider the rationale of the VS-TSR.  The primary
  803. role of the VS-TSR is to prevent the entrance of
  804. viruses.  Only known viruses may readily and
  805. effectively excluded from a computer by a VS-TSR.
  806. A virus known to a VS-TSR may sometimes be removed
  807. by the cleaning option of the VS-TSR.  Unknown
  808. viruses are ignored or mis-identified as a known
  809. virus.  There is another major pitfall of VS-TSRs:
  810. they may themselves be hijacked as a vehicle to
  811. attack a PC's executables.   The question is:  Why
  812. suffer the penalties of the VS-TSR, including loss
  813. of memory space, frequent false alarms, a conduit
  814. for viruses, and degraded computer performance,
  815. when the same result is obtainable by other means?
  816.  
  817. The AES approach suggests that once in the
  818. computer, any virus must one way or the other
  819. become active and reveal the virus' presence even
  820. if the virus is dormant for some period of time.
  821. AES technology that is used regularly (at each
  822. booting for example), allows complete removal of
  823. viruses from AES protected executables.   Since
  824. viruses must be non-destructive for a while in
  825. order to propagate, there is no reason to be
  826. alarmed by the fact that the computer's defenses
  827. have been "penetrated".  There is no 100%
  828. effective software technique that prevents the
  829. introduction of a computer virus.  On the other
  830. hand, if the virus is destructive (which is highly
  831. unlikely if the virus made all the way to your
  832. computer!), then most probably it can not be
  833. stopped by a TSR or any other software-based method.
  834.  
  835. PC users using initially low-cost VS-TSRs are
  836. reluctant to switch to a more cost effective AES
  837. implementation until they understand the perpetual
  838. maintenance cost of VS-TSR "updates".  For
  839. nostalgic reasons, many PC users are especially
  840. attached to their favorite, and usually out-of-date 
  841. virus scanner.  This "Maginot Line" defense
  842. philosophy is unfortunately applied to computer
  843. viruses.  VS-TSR users often state a variation of,
  844. "It must be OK, because it (the anti-virus scanner
  845. product) has not indicated any problems," so far!
  846.  
  847. AES virus removal is facilitated principally by
  848. header-based restoration based on information
  849. extracted from the executable.  The AES method is
  850. non-intrusive (it does not alter programs as
  851. jacket immunization does) and is extremely
  852. efficient and safe.  AES technology will
  853. increasingly show its advantages as the expanding
  854. numbers of mutating, polymorphic, and encrypting
  855. viruses develops.  Even though the AES
  856. technological approach is a better defense against
  857. viruses; acceptance will preferably happen by
  858. users before the potential economic costs of the
  859. VS-TSR approach are unfortunately realized.
  860. InVircible is the only commercially available
  861. implementation of AES technology.
  862.  
  863.  
  864.                           - 11 -
  865.  
  866. As a final note, anti-virus software will never be
  867. a substitute for other defensive computing
  868. practices.  This involves keeping a complete set
  869. of backups, providing electrical and communication
  870. line protections, and becoming very aware of what
  871. is normal for a specific computer.  An AES product
  872. such as InVircible will assist a well-prepared PC
  873. user minimize resources needed by the user to keep
  874. his PC from becoming fatally affected by virus infections.
  875.  
  876.  
  877. About the InVircible Author
  878. ---------------------------
  879.  
  880. Zvi Netiv is an Electronics Engineer, who headed
  881. R&D projects in the Israel Defense Forces and in
  882. the Israel Aircraft Industries for 27 years.  In
  883. 1989 Zvi started doing applied research in
  884. computer virus techniques and accumulated several
  885. copyrighted works in this domain.  Zvi Netiv is a
  886. columnist and lecturer in the Israeli professional
  887. computer community and internationally.  In 1991
  888. he established his own company, NetZ Computing
  889. Ltd.  NetZ's products have been distributed
  890. worldwide under the names V-Care and V-Guard, with
  891. V-Care and V-Guard combined and renamed as
  892. InVircible(r) in 1992.
  893.  
  894.  
  895. About InVircible Availability
  896. -----------------------------
  897.  
  898. The North American and Pacific Rim distributor of
  899. InVircible(r) is S.C.C. is located at 18721 Mooney
  900. Drive in Gaithersburg, Maryland  20879, U.S.A.
  901. The telephone number is 1(301)590-0001.  The
  902. telefax number is 1(301)590-0003.  InVircible may
  903. be obtained in single unit or multiple unit
  904. quantities.  Agency or corporate site licenses are
  905. available.  InVircible is offered in the English,
  906. Hebrew, and French languages (manuals and user
  907. interfaces).  Operating systems supported are DOS
  908. 3.x through 6.x releases from Microsoft, IBM, and
  909. Digital Research; and OS/2 1.x, and OS/2 2.x.
  910. Availability for Windows NT and Novell's DOS 7.0 
  911. is pending.
  912.  
  913.  
  914.                           - 12 -
  915.  
  916. Glossary
  917. --------
  918.  
  919.   Boot Sector -- The disk sector of a bootable
  920.   hard disk partition that the hardware of a PC
  921.   locates and executes automatically upon power-up
  922.   or reboot.
  923.  
  924.   CRC -- Cyclical Redundancy Check.
  925.  
  926.   DOS -- Disk Operating System.
  927.  
  928.   GUI -- Graphical User Interface.  For example,
  929.      Microsoft's Windows 3.1.
  930.  
  931.   Maginot Line --  Built after World War I by
  932.      France along the French--German border as a
  933.      series of fortifications that no land army could
  934.      go through (but could go around and over).
  935.  
  936.   PC -- Personal Computer.  For this paper, the
  937.      IBM AT architecture is implied.
  938.  
  939.   R&D -- Research and Development.
  940.  
  941.   TSR -- Terminate-and-Stay-Resident.  A DOS
  942.      capability allowing a logic module to hook into
  943.      the operating system's interrupt table.  After
  944.      the module is hooked into the interrupt table
  945.      and returns control to DOS, DOS may resume
  946.      execution of another program such as an 
  947.      anti-virus program.
  948.  
  949.  
  950. Trademarks
  951. ----------
  952.  
  953. (R)IBM and OS/2 are registered trademarks of
  954.    International Business Machines Corporation.
  955.  
  956. (TM) AT is a trademark of International Business
  957.      Machines Corporation.
  958.  
  959. (R)Microsoft  and Windows NT are registered
  960.    trademarks of Microsoft Corporation.
  961.  
  962. (TM)V-Guard and V-Care are trademarks of NetZ
  963.     Computing, Ltd. and Sela Computer Consultants.
  964.  
  965. (R)InVircible is a registered trademark of NetZ
  966.    Computing, Ltd. and Sela Computer Consultants.
  967.  
  968.  
  969. Copyright Notice
  970. ----------------
  971.  
  972. This paper is copyrighted (c) 1992,1993 by the Author
  973.   for Tayzen Corporation, and by NetZ Computing,
  974.   Ltd., and by Sela Consultants Corporation
  975.   (S.C.C.).  All Rights Reserved.  Printed in the
  976.   United States of America, June 11, 1993.
  977.