home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / virus / 4683 < prev    next >
Encoding:
Internet Message Format  |  1992-12-15  |  4.1 KB

  1. Path: sparky!uunet!spool.mu.edu!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: Filler virus (PC)
  5. Message-ID: <0010.9212151931.AA10887@barnabas.cert.org>
  6. Date: 11 Dec 92 17:44:46 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 85
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. mcafee@netcom.com (McAfee Associates) writes:
  12.  
  13. > Considering that the other anti-viral program appeared several years
  14. > after VIRUSCAN was released, I think it is fair to say that SCAN does
  15. > not contain a "shoddy scan string,"
  16.  
  17. I disagree. It absolutely doesn't matter when the anti-virus program
  18. has been released. What does matter is (1) when the program has been
  19. updated to detect this virus, (2) when did the virus appear, and (3)
  20. are there any other possible scan strings for that virus.
  21.  
  22. If a virus like Cascade appears tomorrow, and if it uses variable
  23. encryption, so that the only possible scan string is the (short)
  24. decryptor in the beginning, guess what will both McAfee Associates and
  25. any other anti-virus company pick as a scan string...
  26.  
  27. > rather, (1) the other program was 
  28. > not adequately tested against existing anti-viral programs for 
  29. > compatibility problems before release; (2) the other program does not
  30. > cipher its virus search strings, opening the possibility of false alarms
  31. > with other anti-viral programs which use the same search strings, and
  32.  
  33. Now, -that- is definitively fair to say. Any scanner-like anti-virus
  34. program that doesn't do the above (and that doesn't clean up the
  35. memory after itself upon termination) is plain silly.
  36.  
  37. > (3) this problem is not adequately documented in the other programs'
  38. > documentation.
  39.  
  40. Well, in this particular case, it is documented... :-) They just tell
  41. you in the docs that their program is incompatible with any other
  42. anti-virus software... :-))
  43.  
  44. > In one of my chats with the other programs' technical support staff, I
  45. > was told that the problem should be fixed in the new version of their 
  46. > software.  Hopefully, this problem will disappear as users upgrade to 
  47. > the current version of the program.
  48.  
  49. [rumors mode ON]
  50.  
  51. Allegedly, a version of the product mentioned will be included in
  52. MS-DOS 6.0. Allegedly, this particular problem has been already fixed
  53. in that particular version.
  54.  
  55. [rumors mode OFF]
  56.  
  57. > When a new anti-viral program is brought to market, who should be
  58. > responsible for compatibility-testing it to ensure that no false
  59. > alarms exist with existing programs?  And to what extent should
  60. > testing be done?  And who should be responsible for fixing any
  61. > incompatibilities?  Comments, anyone? <G>
  62.  
  63. That's a really good idea... As Dr. Solomon says, it's very easy to
  64. create the perfect virus detector. It will achieve 100% detection rate
  65. when tested with -any- virus collection. It can be just a short .BAT
  66. file. Here it is:
  67.  
  68. echo %1 is a virus.
  69.  
  70. (or something similar, to include the boot sectors testing, but you
  71. get the idea).
  72.  
  73. Unfortunately, such program has no practical use, since it gives an
  74. infinite number of false positives. The tough problem is to create a
  75. scanner that still has a good enough detection rate, but has no false
  76. positives...
  77.  
  78. Unfortunately, there is no simple way to test a scanner for false
  79. positives... False negatives are easy - you just get a huge virus
  80. collection and count how many viruses the scanner -doesn't- detect...
  81. I really don't know how a reliable false positive test should be
  82. performed... One idea is to get all the MS-DOS software from Simtel20
  83. (it is available on CD-ROM), unpack it and run the scanners on all the
  84. executable files. Another idea is to run each scanner on a wide range
  85. of other anti-virus programs, maybe even including itself. At the
  86. VTC-Hamburg we are working on a test protocol about how anti-virus
  87. tests should be performed, so any ideas are welcome.
  88.  
  89. Regards,
  90. Vesselin
  91. - -- 
  92. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  93. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  94. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  95. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  96.