home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / virus / 4720 < prev    next >
Encoding:
Internet Message Format  |  1992-12-18  |  3.0 KB
  1. Path: sparky!uunet!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: TBAV 5.01 (PC)
  5. Message-ID: <0002.9212171857.AA14855@barnabas.cert.org>
  6. Date: 15 Dec 92 12:34:14 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 58
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Malte_Eppert@f6002.n491.z9.virnet.bad.se (Malte Eppert) writes:
  12.  
  13. >  > BTW, the integrity checking seemed -very- weak to me, but I have
  14. >  > not tested it completely...
  15.  
  16. > By default TBCHECK checks only the entry point of an executed file.
  17. > (You can set it to check the whole file's CRC, but that's documented
  18. > to be real slow.)  That's what I think to be the weakness, but could
  19. > you explain why?
  20.  
  21. It is a security problem, indeed, and a major one. Checking only the
  22. entry point of the files is -very- insecure, because it is possible to
  23. infect a file, without modifying any of the following: size, date,
  24. time, attributes, entry point.
  25.  
  26. However, I was thinking about other security problems. TbCheck uses a
  27. CRC with a fixed generator, and this can be easily subverted. It
  28. doesn't know about PATH companions. It doesn't know about the DOS file
  29. fragmentation attack. And so on...
  30.  
  31. I would strongly suggest to any aspiring authors of integrity checking
  32. packages to take a careful look at my paper "Possible Attacks Against
  33. Integrity Checking Programs And How to Prevent Them". The paper has
  34. been published in the proceedings of the 2nd International Anti-Virus
  35. Conference, organized by Virus Bulletin, September 1992, in Edinburgh.
  36. An improved version of the paper has been published in the proceedings
  37. of the 2nd EICAR conference in Munich, December 1992. The improved
  38. version of the paper is available for anonymous ftp from our site as
  39.  
  40. ftp.informatik.uni-hamburg.de:/pub/virus/texts/viruses/attacks.zip
  41.  
  42. The archive contains the paper in both LaTeX and ASCII format.
  43.  
  44. > Are there many link viruses (guess that's what
  45. > TBCHECK is written for) which don't touch the entry point at infection
  46. > time?
  47.  
  48. I can think about at least two - LeapFrog and Emmie. The point is that
  49. it -is- possible to do it, there -are- viruses that are doing it,
  50. therefore, the integrity checkers -must- take into account this
  51. possibility.
  52.  
  53. > BTW: I managed to have Armageddon infect a file after I allowed the
  54. > virus to go TSR, though I've activated the whole product palette.
  55. > What's that - a special way to put its code into a file, which TB
  56. > doesn't recognize?
  57.  
  58. I'm afraid that I do not understand the question... There's nothing
  59. special with Armagedon - it just prepends itself to the COM files -
  60. like the Jerusalem virus does...
  61.  
  62. Regards,
  63. Vesselin
  64. - -- 
  65. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  66. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  67. < PGP 2.0 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  68. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  69.