home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 92 / MTESCAN.CD < prev    next >
Text File  |  1995-09-14  |  5KB  |  79 lines
  1.       @VA Mutation Engine vallatása@N
  2.  
  3.           Korábbi   írásunkban   bemutattuk   a   Mutation  Engine
  4.       vírusgyártó  programot,   amely  nagy   pánikot  okozott   a
  5.       felhasználók és az antivírus szakemberek körében.
  6.           A vírusgyártó automata és a Dark Avenger szerzôje  által
  7.       elkészített,  vírusokba   linkelhetô  kód-önmódosító   rutin
  8.       önvizsgálatra    késztette    a    vírusokkal     foglalkozó
  9.       szakembereket. Vesselin  Boncsev, a  Bulgáriából a  hamburgi
  10.       Virus Test  Centerbe átigazolt  szakember véleménye  szerint
  11.       nem   lehet   olyan   antivírus   szakember,   aki   100%-os
  12.       biztonsággal   azt   állíthatja,   meg   tudja   védeni    a
  13.       felhasználókat a vírusoktól.  Ezután a biztonság  csak olyan
  14.       százalékos értékkel lesz kifejezhetô, amely alulról közelíti
  15.       a százat.
  16.           A Virus  Test Centerben  Morton Swimmer  foglalkozik már
  17.       hosszabb ideje a Mutation Engine -- McAfee jelzete (MtE)  --
  18.       tesztelésével. A vizsgálatok célja az, hogy az ilyen  típusú
  19.       programok ellen megbízható detektálási eljárást találjanak.
  20.           A   Fear   vírust  használták   alapként   a  tesztekre.
  21.       Pontosabban az ezzel végzett fertôzés során keletkezett 9471
  22.       fertôzött   file-t.   Ezeket   természetes   fertôzéssel,  a
  23.       fertôzött programok indítgatásával hozták létre. Aki  ismeri
  24.       a Mutation Engine belinkelhetô  rutint, az tudja, hogy  az a
  25.       vírus,  amelybe  ezt  a  rutint  befordították, folyamatosan
  26.       átkódolja  magát,  mégpedig   úgy,  hogy  egy   véletlenszám
  27.       generátor véletlen leállításakor kapott értékkel XOR-olja el
  28.       magát. Nos, a Mutation Engine segítségével módosított  vírus
  29.       a 9471 file közül  csak három esetben gyártott  azonosat. Az
  30.       összes többiben a fertôzés utáni kód eltért a többi fertôzés
  31.       utáni  kódtól. A  9468 eltérô  file azt  jelenti, hogy  a  a
  32.       program  kódgenerátora  igen-igen  jó,  a  szó kriptográfiai
  33.       (titkosítástani)   értelmében.   A   teszteket  folyamatosan
  34.       ismétlik,   hogy   megtalálják  az   ilyen   típusú  kódolás
  35.       ellenszerét.
  36.           Három, igen elterjedt víruskeresôt is kipróbáltak ezen a
  37.       file-tömegen, hogy lássák, milyen mértékben képesek ennek az
  38.       igen  veszélyes  fertôzésnek   a  kimutatására.  A   teszben
  39.       felhasznált programokat  olvasóink is  jól ismerik:  Fridrik
  40.       Skulason  F-Prot  programjának 2.03a  verziója,  McAfee SCAN
  41.       programjának 89-B  bugfix verziója,  valamint az  Amerikában
  42.       közismert,   de    nálunk   még    ismeretlen   kereskedelmi
  43.       programcsomag, a dr.  Solomon's féle FindVirus  v4.15, 1992.
  44.       május  15-i  verziója szerepelt  a  vizsgálatokban. A  három
  45.       keresôt végigfuttatták a file-okon, és azt vizsgálták,  hogy
  46.       milyen  nagyságrendben  ismerték  fel  az  általuk ismertnek
  47.       hirdetett Mutation Engine fertôzést.
  48.           Legrosszabbul  a  FindVirus  vizsgázott.  Egyáltalán nem
  49.       vett  észre  744  vírusmintát  a  megfertôzött file-kupacból
  50.       (7,9%-os  hibaarány)), ami  nagyon rossz  arány. ùgy  tûnik,
  51.       hogy Solomon úr vállalkozását fôleg hírneve tartja  életben,
  52.       meg az, hogy évekkel korábban az USA kormányának szállította
  53.       termékeit. Skulason F-Prot  2.03a-ja mindössze 13  fertôzést
  54.       nem észlelt, ami 0,14%-os hibaarány. Legjobbnak a SCAN  89-B
  55.       bizonyult, amely mindössze 4 vírusmintát nem vett észre  (ez
  56.       0,04%-os hibaarány!)  A SCAN  az ellenpróba  során mindössze
  57.       egy hamis riasztást adott.
  58.           Természetesen  joggal  tehetik  fel  a  felhasználók   a
  59.       kérdést:  a  négy   fel  nem  ismert   vírusfertôzés  milyen
  60.       biztonságtechnikai  kockázatot   jelent.  Az   lenne  igazán
  61.       kívánatos,  hogy az  ismert vírusokat  a detektorok  100%-os
  62.       biztonsággal megfogják, illetve ahol nincs jelen vírus,  ott
  63.       ne jelezzenek. Sajnos egyre  inkább beigazolódik, hogy ez  a
  64.       követelmény csak vágyálom, olyan mint egy  páncélszekrénytôl
  65.       megkívánni,  hogy  illetéktelenek soha  ne  tudják kinyitni.
  66.       Ugyanakkor  már egyetlen  nem észlelt  fertôzött file  újabb
  67.       járvány elindítója lehet.
  68.           S  most  nézzük  meg ennek  matematikai  alapjait  is. A
  69.       Mutation  Engine  mutációs  rutinja  2  a  252-iken   eltérô
  70.       változatot  képes   elôállítani  128   byte-os  véletlenszám
  71.       generátora  segítségével.  Ennek még  0,04%-a  is igen  nagy
  72.       szám. S  ha arra  gondolunk, hogy  azt a  véletlengenerátort
  73.       valaki   még   át   is   írhatja,   akkor   a   szám  szinte
  74.       beláthatatlanra  duzzad.  Nincs  az  a  víruskeresô program,
  75.       amely ezt hiba  nélkül nyilván tudná  tartani, és meg  tudná
  76.       keresni.
  77.  
  78.       @KKis János@N
  79.