home *** CD-ROM | disk | FTP | other *** search
/ HaCKeRz Kr0nlcKLeZ 1 / HaCKeRz Kr0nlcKLeZ.iso / chibacity / 40hex-7.arj / 40HEX-7.005 < prev    next >
Encoding:
Text File  |  1992-06-06  |  34.0 KB  |  650 lines
  1. 40Hex Number 7 Volume 2 Issue 3                                       File 005
  2.  
  3.     Well, by far the most incredible creation in the virus community that
  4. has surfaced is the MtE.  We aren't going to go into details about it, but
  5. we are definately going to give you as much news as we have collected.
  6.  
  7. In this file:
  8.  
  9. Article 1:   A note from Vesselin Bontchev
  10. Article 2:   Steve Gibson tells us how to avoid polymorphic viruses
  11. Article 3:   An article from Newsday about McAfee
  12. Article 4:   NIST Expert Warns Feds to Find Better Ways to Head Off Viruses
  13. Article 5:   Some messages posted on Smartnet about MtE
  14.  
  15.  
  16. <<<<<<<<<<
  17. Article 1:
  18. <<<<<<<<<<
  19.  
  20. ====From the Virus-L Digest via NIST=====
  21. Date:    10 Feb 92 20:40:23 +0000
  22. >From:    bontchev fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  23. Subject: Re: DAV/Sourcer/Rape (PC)
  24.  
  25. RUTSTEIN HWS.BITNET writes:
  26.  
  27. > First, has anyone heard about Dark Avenger's latest?  I got a report
  28. > secondhand last week that he'd come up with a new gem...I believe the
  29. > report came from a researcher in the UK.  Fridrik/Vesselin/others, can
  30. > you confirm/deny this report?
  31.  
  32. Yeah, I can confirm it... :-( And it is a first-hand information,
  33. since I have it. The long-rumored Mutating Engine is real and is
  34. circulated to several virus exchange BBSes... :-(( The bad news is
  35. that the damn thing really mutates, no kidding! It comes as an OBJ
  36. file, which is supposed to be linked to any virus, with a detailed
  37. do-it-yourself guide, and with a demo virus. The demo virus is in
  38. source, but the source of the Mutating Engine (called MtE) is not
  39. provided. According to the docs, what we have is version 0.90-beta of
  40. the MtE, but version 0.91 is also known to exist... I'm wondering what
  41. will be implemented more in version 1.00... :-(((
  42.  
  43. The damn thing is really difficult to crack! I mean, it contains no
  44. encryption or anti-debugging and anti-disassembling thechniques, but
  45. it mutates too well... I have observed changing of encryption
  46. algorithms, random bytes padding, usage of different ways to express
  47. one and the same algorithm (yeah, that's right - different ways, not
  48. just modifying the opcodes and inserting do-nothing instructions)...
  49. The currently most mutating virus (V2P6Z) is a toy compared to it...
  50.  
  51. The worst of all is that just anybody can sit and use it to create a
  52. virus. Well, some experience in assembly language programming is
  53. needed, so the kids from RABID, NukE, and the other punk virus writing
  54. groups that use to write overwriting viruses in high-level languages
  55. will have a little bit of trouble to learn how to use it... But a very
  56. little bit!
  57.  
  58. Currently there are only two viruses, which use the MtE. The first is
  59. the demo virus in the package (a silly, non-resident, COM file
  60. infector, infects only the files in the current directory), and a
  61. virus, called Pogue, which has been available on some VX BBSes in the
  62. USA. McAfee's SCAN 86-B claims to be able to detect the Pogue virus.
  63. Unfortunately, I haven't had the time to verify this (I recieved the
  64. virus just two days ago). There are reports that in fact not all
  65. possible variants of the virus are detected. SCAN 86-B DOES NOT detect
  66. the MtE for sure - I tested it on the demo virus supplied with the
  67. package.
  68.  
  69. As a conclusion, don't panic. Currently there are only two viruses,
  70. using the MtE and both are too silly to pose a serious threat. Copies
  71. of the MtE have been provided to several anti-virus researchers (no,
  72. don't write me to ask for a copy, you won't get one), including McAfee
  73. Associates, Fridrik Skulason, Dr. Solomon, etc., so there are a lot of
  74. people working right now on the problem. The good news is that once we
  75. learn to recognize the MtE, we'll be able to detect -any- new viruses
  76. that are using it.
  77.  
  78. Oh, yes, just out of interest. The whole package comes in a neat ZIP
  79. archive, with -AV code for "CrazySoft, Inc.". The Bulgarian hackers
  80. have demonstrated again that the -AV authenticity verification in
  81. PKZIP is just crap, so PLEASE DO NOT RELY ON IT!
  82.  
  83.  
  84. <<<<<<<<<<
  85. Article 2:
  86. <<<<<<<<<<
  87.  
  88. From InfoWorld Magazine
  89. Tech Talk
  90. by Steve Gibson
  91.  
  92. AT LAST, HOW TO PROTECT YOURSELF FROM POLYMORPHIC VIRUSES
  93.  
  94.   My past two columns concerning the threat presented by polymorphic
  95. viruses triggered an informative conversation with the industry's
  96. chief virus researcher, John McAfee. During that conversation I
  97. learned that things are even worse than I'd supposed.
  98.   It turns out that the "Dark Avenger" bulletin board system, which
  99. disseminates virus code, has recently published source code for the
  100. Dark Avenger Mutation Engine. The Mutation Engine is nothing less than
  101. a first-class code kernel that can be tacked onto any existing or
  102. future virus to turn it into a nearly impossible to detect
  103. self-encrypting virus.
  104.   My examination of a sample virus encrypted by the Mutation Engine
  105. provided by McAfee revealed alarming capabilities. Not only do the
  106. Dark Avenger Mutation Engine viruses employ all of the capabilities I
  107. outlined in last week's column, but they also use a sophisticated
  108. reversible encryption algorithm generator.
  109.   The Mutation Engine uses a meta-language-driven algorithm generator
  110. that allows it to create an infinite variety of completely original
  111. encryption algorithms. The resulting unique algorithms are then salted
  112. with superfluous instructions, resulting in decryption algorithms
  113. varying from 5 to 200 bytes long.
  114.   Because McAfee has already received many otherwise known viruses
  115. that are now encapsulated with the Mutation Engine's polymorphic
  116. encryption, it's clear that viruses of this new breed are now
  117. traveling among us.
  118.   It is clear that the game is forever changed; the sophistication of
  119. the Mutation Engine is amazing and staggering. Simple pattern-matching
  120. virus scanners will still reliably detect the several thousand
  121. well-known viruses; however, these scanners are completely incapable
  122. of detecting any of the growing number of viruses now being cloaked by
  123. the Dark Avenger Mutation Engine.
  124.   So what can we ultimately do to thwart current and future software
  125. viruses? After brainstorming through the problem with some of our
  126. industry's brightest developers and systems architects, I've reached
  127. several conclusions.
  128.   First, scanning for known viruses within executable program code is
  129. fundamentally a dead end. It's the only solution we have for the
  130. moment, but the detectors can only find the viruses they are aware of,
  131. and new developments such as the Mutation Engine render even these
  132. measures obsolete.
  133.   Second, detecting the reproductive proclivities of viruses on the
  134. prowl is prone to frequent false alarms and ultimately complete
  135. avoidance. With time the viruses will simply circumvent the detectors,
  136. at which time the detectors will only misfire for self-modifying
  137. benign programs.
  138.   Third, the Achilles' heel of our current DOS-based PC is its
  139. entirely unprotected nature. As long as executable programs (such as
  140. benign and helpful system utilities) are able to freely and directly
  141. access and alter the operating system and its file system, our
  142. machines will be vulnerable to deliberate attack.
  143.   So here's my recommendation.
  144.   Only a next-generation protected-mode operating system can enforce
  145. the levels of security required to provide complete viral immunity. By
  146. marking files and code overlays as "read and execute only" and by
  147. prohibiting the sorts of direct file system tampering performed by our
  148. current crop of system utilities, such operating systems will be able
  149. to provide their client programs with complete viral immunity.
  150.   The final Achilles' heel of a protected-mode operating system is the
  151. system boot process, before and during which it is still potentially
  152. vulnerable. By changing the system ROM BIOS' boot priority to favor
  153. hard disk over floppy, this last viral path can be closed and blocked
  154. as well.
  155.  
  156. (Steve Gibson is the developer and publisher of SpinRite and
  157. president of Gibson Research Corp., based in Irvine California....)
  158.  
  159.  
  160. <<<<<<<<<<
  161. Article 3:
  162. <<<<<<<<<<
  163.  
  164. Date:    Mon, 06 Apr 92 14:18:09 -0400
  165. >From:    Joseph Halloran <JHLQC%CUNYVM.BITNET@BITNET.CC.CMU.EDU>
  166. Subject: NY Newsday Article on McAfee & Viruses
  167.  
  168.      (NOTE: The following article was published as a whole in the
  169. April 5, 1992 edition of New York Newsday, page 68.  It is reprinted
  170. below without the express consent of Joshua Quittner, New York Newsday,
  171. or the Times-Mirror Company)
  172.  
  173.                         SOFTWARE HARD SELL
  174.                         ------------------
  175.           "Are computer viruses running rampant, or is
  176.            John McAfee's antivirus campaign running amok?"
  177.                                  -By Joshua Quittner, staff writer
  178.  
  179.     John McAfee is doing one of the things he does best: warning a
  180. reporter about the perils of a new computer virus.
  181.     "We're into the next major nightmare -- the Dark Avenger Mutating
  182. Engine," McAfee says, ever calm in the face of calamity.  "It can
  183. attach to any virus and make it mutate."  The ability to "mutate"
  184. makes it virtually undetectable to antivirus software, he explains.
  185.     "It's turning the virus world upside down."
  186.     But wait.  This is John David McAfee, the man who once ran a service
  187. that revolved around the curious premise that, if you paid him a member-
  188. ship fee and tested HIV-negative, you could have AIDS-free sex with other
  189. members for six months.  This is the man who jumped from biological
  190. viruses to computer viruses and quickly became a flamboyant expert on the
  191. new demi-plague, showing up at the scene of infected PCs in his Winnebago
  192. "antivirus paramedic unit."
  193.      And this is the same man who started something called the Computer
  194. Virus Industry Association, and, as chairman, made national headlines
  195. last month by saying that as many as _five million_ computers might be
  196. infected with a virus named Michelangelo.
  197.      The virus turned out to be a dud, in the opinion of many industry
  198. experts.  But not before McAfee became a media magnet: In the weeks be-
  199. fore March 6, when Michelangelo was supposed to erase the hard disks of
  200. infected IBM and compatible PCs, he was featured by Reuters, the
  201. Associated Press, USA Today, the Wall Street Journal, "MacNeil/Lehrer
  202. News Hour," CNN, "Nightline," National Public Radio and "Today."
  203.      What some news reports failed to point out, however, is that McAfee
  204. is also the man who runs Santa Clara, Calif.-based McAfee Associates,
  205. a leading manufacturer of antivirus software, and that he stood to
  206. benefit from publicity about Michelangelo.  McAfee won't reveal sales,
  207. but it seems clear they shot up during the two-week frenzy.
  208.      "People kept saying I hyped this, I hyped this," said McAfee, who
  209. still defends the notion that Michelangelo was widespread.  "I never
  210. contacted the press -- they called me."
  211.      McAfee's detractors say the Michelangelo scare was mainly hype and
  212. media manipulation, a parade in which most of the floats were built by
  213. McAfee.  They say McAfee helped drive the rush to buy antivirus soft-
  214. ware -- with his products poised to sell the most -- while boosting the
  215. profile of McAfee Associates, a company that recently received
  216. $10 million from venture capitalists McAfee says are waiting to sell
  217. stock publicly.
  218.      And, critics say, while McAfee touts a recent evaluation that rated
  219. his software alone as 100 percent effective in finding virtually every
  220. known virus, he funded the evaluation and picked his competitors.
  221.      "He does know the issue of viruses, no doubt about it," said Ken
  222. Wasch, executive director of the 900-member Software Publishers Assoc-
  223. iation.  "But his tactics are designed to sell _his_ software."
  224.      McAfee says the media consistently misquoted him about how
  225. widespread Michelangelo was.  And his company didn't profit from the
  226. virus, he says, but actually suffered due to the free advice his staff
  227. was dispensing.  "It does not benefit me in any way or shape or form
  228. to exaggerate the virus problem."
  229.     Even McAfee's detractors admit his programs do what they're supposed
  230. to do: track down coding that's maliciously placed in software to make it
  231. do anything from whistle "Yankee Doodle" to erase valuable data.
  232.     His strongest distribution channel is shareware, a kind of software
  233. honor system common on electronic bulletin boards.  PC users can download
  234. the programs over phone lines and pay later if they find them useful.
  235.     McAfee's programs are "probably the most popular shareware programs
  236. of all time, second only to PKZIP," which compresses data, said George
  237. Pulido, technical editor of Shareware Magazine.  He said McAfee's
  238. programs have been copied by millions of people, although only about 10
  239. percent of shareware users actually pay.
  240.     A more reliable money-maker is corporate site licenses, where McAfee
  241. is one of the three biggest players.  Michael Schirf, sales manager of
  242. Jetic Inc., a Vienna, Va., company that is McAfee's sales agent for the
  243. Mid-Atlantic region, claimed more than 300 of the Fortune 500 companies
  244. have licensed his software, paying $3,250 to $20,000, depending on the
  245. number of PCs.  During the Michelangelo scare, "you couldn't get through
  246. to us at one point because of people asking about it and trying to get
  247. it," Schirf said.
  248.     Certainly, McAfee's software wasn't the only antivirus software
  249. selling.  Fueled by giveaways of "special edition" programs that scanned
  250. exclusively for the Michelangelo virus, sales of general antivirus
  251. packages were a bonanza for everyone in the business, including Norton/
  252. Symantec and Central Point Software, two other leading sellers.
  253.     "Our sales of antivirus software were up 3,000 percent," said Tamese
  254. Gribble, a spokesman for Egghead Software, the largest discount software
  255. retailer in the country.  "We were absolutely swamped."
  256.     Rod Turner, a Norton executive vice president, said antivirus sales
  257. increased fivefold.  "We didn't make any product in advance," he said,
  258. "so we were caught with our pants down."  Companies like Norton that
  259. sell factory-shipped software couldn't ramp up quickly enough to take
  260. full advantage of the situation.  But McAfee's software comes mostly
  261. through electronic bulletin boards and sales agents, giving him a nearly
  262. limitless capability to meet demand.  "I can supply as many copies of the
  263. software as I have blank diskettes to put it on," Schirf said.
  264.     The Michelangelo scare was also good for pay-by-the-hour on-line
  265. information services such as Compuserve, which saw a huge increase in the
  266. time users logged on looking for advice on Michelangelo.
  267.     Indeed, a virus forum on Compuserve was hugely popular, with users
  268. downloading antivirus programs, including McAfee's, 49,000 times that
  269. week, Compuserve spokesman Dave Kishler said.  Compuserve made more than
  270. $100,000 from the online time.
  271.     McAfee makes an attractive industry spokesman.  Tall and lean, with a
  272. mellifluous voice, he speaks in perfect sound bites -- an antidote to the
  273. unquotably bland men who otherwise dominate the antivirus business.
  274.     A mathematician who got into programming when he graduated from
  275. Roanoke College, McAfee, 47, said he has held a dozen jobs, ranging from
  276. work on a voice-recognition board for PCs to consulting for the Brazilian
  277. national phone company in Rio de Janeiro.  His first mention in the media
  278. was in connection with the American Association for Safe Sex Practices, a
  279. Santa Clara club formed so that its members could engage in AIDS-free
  280. sex.  For a $22 fee, members whose blood tested HIV-negative were given
  281. cards certifying them AIDS-free, buttons saying "Play it Safe," and were
  282. entered on McAfee's on-line data base.  Updates, every six months, cost
  283. $7.
  284.     Anyone who knows anything about AIDS knows a certificate that someone
  285. is AIDS-free is good only until the person has sex with or shares an
  286. intravenous needle with an infected person.
  287.     When asked now about the safe-sex group, McAfee at first denied
  288. anything but a passing affiliation: "I worked for those people as a con-
  289. tractor," he said, adding, "It was not my company."  But later, when he
  290. was reminded that both the San Diego Tribune and the San Francisco
  291. Chronicle described him in feature stories as the entrepreneur who
  292. started the organization ("I believe I am providing an environment
  293. where people who are sexually active can feel more safe and secure,"
  294. he told the Tribune in a March 9, 1987, story), McAfee sidestepped the
  295. ownership question.  He said the group performed a valuable function,
  296. maintaining a data base on AIDS and information about the disease.
  297.     "I thought they were pretty well ahead of their time," he said,
  298. quickly locating a 1987 newsletter put out by the group, which featured
  299. articles such as "Kissing and AIDS" and "The Apparent Racial Bias of the
  300. AIDS Virus."
  301.     The association no longer exists.  "They came and went pretty fast,"
  302. McAfee said, chuckling.
  303.     McAfee got his first taste of computer viruses at around that time.
  304. "It was an accident, like anything else in life," he recalled.  "I got
  305. a copy of the Pakistani Brain.  I think I got it from one of the local
  306. colleges.  It was the program of the year."  The program, reportedly
  307. written by two Pakistani students trying to foil software pirates,
  308. destroyed some PC data.
  309.     By 1989, McAfee was a virus expert, selling the first antivirus
  310. software and offering to make house calls with his Winnebago cum computer
  311. lab.
  312.     "John's antivirus unit is the first specially customized unit to wage
  313. effective, on-the-spot counterattacks in the virus war," McAfee and a
  314. co-author reported in "Computer Viruses, Worms, Data Diddlers, Killer
  315. Programs, and Other Threats to Your System," their 1989 book.  "Event-
  316. ually, there will be many such mobile search, capture and destroy anti-
  317. virus paramedic units deployed around the world."
  318.     He had also founded the Computer Virus Industry Association, with
  319. himself as chairman.
  320.     "The CVIA is nothing more than McAfee," said Wasch, of the Software
  321. Publishers Association.  "I had a run-in with him three years ago about
  322. that."  Wasch said he had been asked by other antivirus businesses to
  323. look into McAfee's group after claims surfaced that he was railroading
  324. companies into joining -- something McAfee vigorously denies.  Wasch
  325. said he believes the assocation was a self-serving group that did
  326. little more than support McAfee's business.
  327.     "It would be like Microsoft creating the Windows Support Association
  328. as a front to promote its Windows software," Wasch said.
  329.     McAfee denies the CVIA is a front and said Wasch's group was
  330. threatened by the creation of the virus association.  "They wanted to
  331. take us over," he said.  In any event, he said, the association is now
  332. managed by others and his involvement is minimal, adding, "It's more of
  333. a nuisance to me."  But he does say the association is dependent on his
  334. private business for much of its virus data.  "McAfee Associates has all
  335. the numbers," he said.
  336.     Detractors say McAfee now uses another association to hype his
  337. programs.
  338.     The National Computer Security Association released one of the few
  339. ratings of antivirus software, with McAfee's program on top -- a
  340. comparison he's quick to cite.  But that may be because he influenced
  341. which software would be compared with his and how the tests were run,
  342. said David Stang, who founded the for-profit association in Washington,
  343. D.C., two years ago.  Stang recently left the association and started
  344. a new one after a falling-out with McAfee over testing procedures.
  345.     Stang said one of the assocation's functions was to "certify"
  346. antivirus software -- to test and rate competing programs.  "It was his
  347. [McAfee's] idea that we certify products," Stang said.  And when no
  348. company rushed forward to pay $500 to have its software rated, McAfee
  349. "sent me the products and the check and said 'go certify.'"
  350.     McAfee says he spent thousands of dollars to evaluate some of his
  351. competitors' programs.  In February, 1992, in fact, he paid for his own
  352. and the other five programs to be certified.  His was ranked 100 percent
  353. effective.  The others ranged from 44 percent to 88 percent effective.
  354.     "If your product competes with mine, I'd like for those customers of
  355. mine to know that your product isn't as good as mine," he said.  But in
  356. the February certification, notably absent were McAfee's biggest
  357. competitors: Dr. Solomon's ToolKit and Skulason's F-Prot.
  358.     "I've got 75 competitors.  I pick the ones who are going to give me
  359. the most trouble that month," McAfee explained.
  360.     The February evaluation was actually a second, and more favorable
  361. test, that Stang says he performed at McAfee's request.  Stang said
  362. McAfee was dissatisfied with the assocation's methods -- it tested the
  363. software against a "library" of viruses that McAfee thought wasn't
  364. comprehensive enough.  So Stang said he agreed to use a new library that
  365. he claims was built on viruses McAfee found and supplied.  Scores for
  366. McAfee's program rose while some others dropped sharply.  McAfee said
  367. Stang's virus library was incomplete and his testing methods "wishy-
  368. washy," and he defended the new library's independence.
  369.     "This is not something that anybody, let alone me, could mess with,"
  370. said McAfee.  "You can't jimmy these scores.  You can't say that McAfee
  371. buys more certifications, therefore he'll get a better score, because
  372. other vendors would complain."
  373.     "They wouldn't let me get away with it."
  374.  
  375. [John McAfee]
  376.  
  377.  
  378. <<<<<<<<<<
  379. Article 4:
  380. <<<<<<<<<<
  381.  
  382. From: Government Computer News
  383.       March 30, 1992
  384. By:   Kevin Power, GCN staff
  385.  
  386. "NIST Expert Warns Feds to Find Better Ways to Head Off Viruses"
  387.  
  388. BALTIMORE - In the wake of the Michelangelo scare, a top security
  389. expert with the National Institute of Standards and Technology has
  390. warned agencies against relying too heavily on virus scanning
  391. software.
  392.   Anti-virus software ia a useful detection tool, but it often takes
  393. too long to use and does not solve fundamental problems, said Dennis
  394. Steinhauer, manager of the computer security evaluation group at
  395. NIST's Computer Systems Laboratory. He spoke at the March meeting of
  396. the National Computer System Security and Privacy Advisory Board.
  397.   Steinauer said the fallout from Michelangelo was minimal, thanks to
  398. early detection, plenty of publicity and governmentwide [sic]
  399. warnings. But he also stressed that vendors and agencies need more
  400. effective methods of protecting against viruses in newly acquired
  401. hardware and software.
  402.   "What were believed to be reliable channels may no longer be," he
  403. said. "There's a lot that needs to be done to make sure that users
  404. receive better assurances that products are not contaminated. This
  405. incident may have undermined consumer confidence."
  406.   Steinhauer said one solution would be to build hardware and
  407. operating systems that are less vulnerable.
  408.   For example, vendors can isolate the boot sector of a hard drive to
  409. guard against infection. But agencies tend to shy away from such
  410. serious measures, because they force managers make hard choices about
  411. system functionality and user requirements, Steinhauer said.
  412.   "We have the technology to do what is necessary. But we don't know
  413. what the price is to the user," he said. "The question is whether I'm
  414. willing to have my machine hobbled for protection. It's similar to
  415. installing a governor on a car to limit a vehicle's speed to 55 miles
  416. per hour."
  417.    Agencies still are surveying for possible damage inflicted by
  418. Michelangelo, Steinhauer said. But he said the incident showed NIST
  419. officials that more agency computer emergency response teams (CERTs)
  420. are needed.
  421.   CERTs, established in some agencies for just such attacks, worked
  422. well, Steinhauer said. The teams coordinate their work through the
  423. Forum on Incident Response and Security Teams, or FIRST.
  424.   But Steinhauer said it was evident that not enough agencies have
  425. established CERTs.
  426.   Internal agency security teams did their jobs, but the government
  427. needs a better way to distribute security advisories and handle
  428. less-publicized emergencies, Steinhauer said.
  429.  
  430.  
  431. <<<<<<<<<<<
  432. Article 5A:
  433. <<<<<<<<<<<
  434.  
  435. Date: 05-29-92 (21:06)              Number: 3019 of 3059 (Echo)
  436.   To: BILL LAMBDIN                  Refer#: NONE
  437. From: CHARLIE MOORE                   Read: NO
  438. Subj: POLYMORPHIC VIRUSES   1/2     Status: PUBLIC MESSAGE
  439. Conf: VIRUS (52)                 Read Type: GENERAL (+)
  440.  
  441. Note: This message is a repost -- I tied up the first by failing
  442.       to set the lines per message < 99.  My apologies to all.
  443.  
  444. Bill, regarding how McAfee's Scan detects the DAME you stated:
  445.  
  446. BL>Trust me. It is still string searches. McAfee finds those three
  447. BL>bytes, and then follows the steps to decrypt the virus to memory. If
  448. BL>it continues long enough to possitively identify the DAME, Scan
  449. BL>reports the virus, and looks at the next
  450.  
  451. Now, being in the security business, and probably a bit paranoid as a
  452. result, when I see or hear "Trust me", I get a little queezy. I don't
  453. know the source of your information Bill (perhaps you'll let us know)
  454. but I don't think it's correct.
  455.  
  456. On May 11, 1992, McAfee Associates was featured in a news release about
  457. the DAME -- Dark Avenger Mutation Engine No Threat to Protected PCs.
  458. Below is a quote from this release that does not track with what you're
  459. telling me (BTW, it was McAfee Associates who sent me the news
  460. release -- did not see it until today though).
  461.  
  462.      The Mutation Engine, however, uses a special algorithm to
  463.      generate a completely variable decryption routine each time.
  464.      "The result is that no three bytes remain constant from one
  465.      sample to the next," said Igor Grebert, senior programmer at
  466.      McAfee Associates.  "This makes detection using conventional
  467.      string-matching techniques impossible."
  468.  
  469. Now, in my last message to you I stated that I understood three bytes
  470. did remain constant (I got this info from two sources; Hoffman's Vsum204
  471. and tech support at Fifth Generation Systems -- I now suspect Hofman is
  472. wrong and tech support at Fifth Generation Systems was probably just
  473. parroting Hoffman's Vsum.  As I've stated before, solid technical
  474. information about the DAME is limited!
  475.  
  476. Today, I called Igor Grebert at McAfee Associates to verify that he was
  477. properly quoted in the news release -- he was.  Igor would not tell me
  478. in detail how McAfee's Scan detects the DAME; however, he did assure me
  479. that searching for a three-byte string was not the technique used.
  480.  
  481. BL>CM> I don't think anyone, not even the Dark Avenger himself, can put an
  482. BL>CM> accurate number on the possible virus mutations generated by the
  483.  
  484. BL>Again trust me. It is mathmatics pure and simple.
  485.  
  486. BL>the DAME randomly picks a 32 bit seed. Each bit will either be a 1 or 0.
  487. BL>... according to my scientific calculator, or 4.3 billion possible
  488. BL>combinations in english.
  489. BL>If the numbers above ring bells, it is binary plain and simple.
  490.  
  491. Well Bill, I'm certainly not going to argue with your calculator. :-)
  492.  
  493. However, my point was, and remains, that the possible numbers associated
  494. with a random seed are not necessarily equal to the possible number of
  495. mutations the DAME is capable of generating.  Now, as I stated to you
  496. in my original message, solid information on the DAME (in particular,
  497. how it works interactively with its various segments of code) is
  498. limited.  Even the most experienced and best qualified researchers
  499. often don't agree on certain aspects and more than a few questions
  500. remain about the limits of variability and related issues.
  501.  
  502. Below is the latest and best info I've seen that gives some insight
  503. into the complexity here.  The message was posted on the Internet's
  504. Virus-L Conference; its author, Vesselin Bontchev, is one of the
  505. most highly respected virus researchers in the world.
  506.  
  507. Date:    21 May 92 22:11:43 +0000
  508. From:  bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  509. Subject:  Detecting the MtE (PC)
  510.  
  511. Almost half an year has passed since the Dark Avenger's Mutating
  512. Engine (MtE) has been made available to the anti-virus researchers.
  513. Currently several scanners claim to detect it with "100 %
  514. reliability". Do they really succeed however?
  515.  
  516. We decided to run some tests at the VTC. The tests are preliminary and
  517. were performed by Morton Swimmer. The Fear virus was used (a minor
  518. Dedicated patch) to generate 9,471 infected files. The files were
  519. generated by the natural infection process - the reason was to also test
  520. the randomness of the random number generator supplied with the MtE. Of
  521. those 9,471 infected examples 3 turned out to be duplicates, which
  522. yelded to 9,468 different instances of the virus. It also means that the
  523. random number generator is rather good...
  524.  
  525. Those examples filled a 40 Mb disk (which didn't permit us to generate
  526. 10,000 different examples, as we wished initially). We wanted to keep
  527. them all, in order to be able to reproduce the tests.
  528.  
  529. The three scanners were run on those virus samples. The scanners were
  530. the three that showed best detection rate on our collection, merely
  531. Dr. Solomon's FindVirus (version 4.15 with drivers from May 15, 1992),
  532. Fridrik Skulason's F-Prot 2.03a, and McAfee's SCAN 89-B.
  533.  
  534. All the three scanners failed the test, each in a different way.
  535.  
  536. FindVirus showed the worst results. It did not detect 744 virus
  537. samples (7.86 %). F-Prot did not detect 13 examples (0.14 %). SCAN did
  538. not detect 4 examples (0.04 %). SCAN shows the best detection rate in
  539. the case of MtE, but we also got a report for one false positive.
  540. For the average users the above rates might appear to be high enough.
  541. What are 4 undetected infected files when almost 10,000 infected ones
  542. have been properly detected? Well, it does matter. When you are
  543. looking for a particular known virus, anything below 100 % detection
  544. means that your program fails to detect it reliably. Rmember that a
  545. single not detected file may re-start the epidemy.
  546.  
  547. There is another thing to be concerned about. The MtE uses a 128-byte
  548. random number generator, which means that theoretically it can exist
  549. in 2^512 different variants. And 0.04 % of this is still quite a
  550.  
  551. CM>   [Hmm...  yet a different number of possible mutations?]
  552.  
  553. lot... Suppose that some virus writer runs the same tests (or even
  554. more elaborate ones) and determines for which values of the random
  555. number generator the virus is not detected. Then he can create a new
  556. random number generator (the MtE provides the possibility for
  557. user-supplied random number generators to be plugged in), which
  558. generates -only- those values... Such a virus will not vary a lot, but
  559. it will still mutate and -all- its mutations will escape that
  560. particular scanner...
  561.  
  562.  As I mentioned in the beginning, those were only preliminary tests. We
  563. intend to modify the random number generator so that it will generate
  564. consecutive (instead of random) numbers and to create a few hundreds
  565. thousands mutations by keeping only those which a particular scanner
  566. does NOT detect. We'll then re-run the tests for random ranges of
  567. consecutive mutations. All we can say now is that neither of the three
  568. scanners mentioned above is able to detect MtE-based viruses with 100
  569. % reliability.
  570.  
  571. Currently I am aware of the existence of at least three other scanners
  572. which claim 100 % detection of the MtE. One comes with the new version
  573. of V-Analyst III, the second has been designed by IBM, and the third
  574. is Dutch scanner. As soon as we get them we'll re-run the tests.
  575.  
  576. Regards,
  577. Vesselin
  578. ----------------------End of Vesselin's Message----------------------
  579.  
  580. Bill, I'll follow up on the subsequent tests Vesselin intends to run and
  581. report the results to you.
  582.  
  583. One thing I've learned in this business is that accurate and solid
  584. information is sometimes hard to come by and the experts don't always
  585. have all the answers.  Although I think Vesselin's above message is
  586. pretty solid, I also think he fails to consider something:  on the one
  587. hand, he states a theoretical 2^512 (in contrast, your number is 2^32)
  588. different variants; yet, his empirical data produces 3 duplicate
  589. mutations from a run of less than 10 thousand.  I think this is rather
  590. odd from a statistical perspective.
  591.  
  592. Regards,
  593.    Charlie Moore
  594. ---
  595.  
  596.  
  597. <<<<<<<<<<<
  598. Article 5B:
  599. <<<<<<<<<<<
  600.  
  601. Date: 05-30-92 (15:08)              Number: 3021 of 3059 (Echo)
  602.   To: BILL LAMBDIN                  Refer#: NONE
  603. From: CHARLIE MOORE                   Read: NO
  604. Subj: POLYMORPHIC VIRUSES           Status: PUBLIC MESSAGE
  605. Conf: VIRUS (52)                 Read Type: GENERAL (+)
  606.  
  607. Bill, here's a followup post from Vesselin regarding the DAME:
  608.  
  609. -----------------Extracted from Internet's Virus-L--------------------
  610.  
  611. Date:    27 May 92 08:44:06 +0000
  612. From:    bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  613. Subject: Re: Detecting the MtE (PC)
  614.  
  615. bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev) writes:
  616.  
  617. > MtE. Of those 9,471 infected examples 3 turned out to be duplicates,
  618. > which yelded to 9,468 different instances of the virus. It also means
  619.  
  620. Correction: a fourth duplicate has been found later. Therefore the
  621. total number of generated different mutations used during the test is
  622. only 9,467.
  623.  
  624. > Currently I am aware of the existence of at least three other scanners
  625. > which claim 100 % detection of the MtE. One comes with the new version
  626. > of V-Analyst III, the second has been designed by IBM, and the third
  627. > is Dutch scanner. As soon as we get them we'll re-run the tests.
  628.  
  629. We tried out the Dutch scanner. Its authors were present during the
  630. test. When they saw the results, they decided that the program is not
  631. ready to be tested yet and promised to send us a fixed version soon...
  632. :-)
  633.  
  634. We just received the V-Analyst III scanner; we haven't tested it yet.
  635. As soon as the test is performed, I'll post the results.
  636.  
  637. Meanwhile we received and tested yet another scanner which claims "100%
  638. detection of the MtE-based viruses". It is a German product, called
  639. AntiVir IV and produced by H+BEDV. The version tested was 4.03 of May
  640. 15, 1992, beta version. It missed 584 mutations (6.17 %).
  641.  
  642. Regards,
  643. Vesselin
  644. - --
  645. Vesselin Vladimirov Bontchev           Virus Test Center, University of Hamburg
  646. Tel.:+49-40-54715-224, Fax: +49-40-54715-226       Fachbereich Informatik - AGN
  647. ** PGP public key available by finger. **     Vogt-Koelln-Strasse 30, rm. 107 C
  648. e-mail: bontchev@fbihh.informatik.uni-hamburg.de     D-2000 Hamburg 54, Germany
  649.  
  650.