home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4816 < prev    next >
Encoding:
Internet Message Format  |  1993-01-05  |  3.4 KB
  1. Path: sparky!uunet!elroy.jpl.nasa.gov!usc!cs.utexas.edu!qt.cs.utexas.edu!yale.edu!jvnc.net!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: as194@cleveland.Freenet.Edu (Doren Rosenthal)
  3. Newsgroups: comp.virus
  4. Subject: Virus Simulator MtE Supplement (PC)
  5. Message-ID: <0005.9301051858.AA13030@barnabas.cert.org>
  6. Date: 23 Dec 92 03:13:17 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 68
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11.  
  12. Doren Rosenthal
  13. 3737 Sequoia
  14. San Luis Obispo, CA USA 93401
  15.  
  16. To: Vesselin Vladimirov Bontchev, Virus Test Center, University of Hamburg
  17.  
  18. In response to your questions posted on this forum about my Virus 
  19. Simulator MtE Supplement.
  20.  
  21.      > 1) Does is simulate perfectly the behavior of the MtE?
  22.  
  23. YES.  Although  safe  and controlled, these dummy  sample  programs  behave 
  24. identically to those produced MtE mutation engine viruses.
  25.  
  26.      >I.e.,   are  the  dummy  files  generated  by  it  the  same  as   if
  27.      >generated  by  the MtE? If not, then it is not good as  a  simulator,  
  28.      >because the simulation is not
  29.      >perfect enough.
  30.  
  31. YES. The dummy simulations are the same as those encrypted by the 
  32. MtE mutation engine.
  33.  
  34.      >2) If the answer of the above question is "yes", then it means that it
  35.      >uses the MtE itself to encrypt the dummy files - because using
  36.      >anything else would mean imperfect simulation. If it uses the MtE, do
  37.      >you include the MtE itself in the generated dummies?
  38.  
  39. YES.  At  the hart of the simulations is an actual  MtE  mutation 
  40. engine.
  41.  
  42.      >3) If the answer of the above question is "no", then the simulation is
  43.      >again not good enough, since the only way a scanner could detect the
  44.      >unencrypted replicants of an MtE-based virus is to scan for a scan
  45.      >signature of the unencrypted body of MtE. If the answer of the above
  46.      >question is "yes", then it is pretty easy to extract the MtE from the
  47.      >unencrypted dummies... Therefore, you are distributing malicious
  48.      >software...
  49.  
  50. I  disagree. Although these are real MtE viruses, steps have been taken  to 
  51. insure  they  will  only  infect  the  dummy  test  programs  provided  and 
  52. modifications or reverse engineering has been discouraged.
  53.  
  54.      >Conclusion: regardless how you answer to the above questions, either
  55.      >the simulator is useless, or you are distributing malicious
  56.      >software... Hmm, I was able to draw this conclusion even without
  57.      >having to look at the simulator... Pretty good, isn't it?... :-)
  58.  
  59. I'm  disappointed  that  you would pass yourself off as  a  fair  and  open 
  60. scientist  and researcher open to new ideas. Then ask what would appear  to 
  61. be  legitimate questions and without giving my response a fair  hearing  or 
  62. even  examining  the  Virus  Simulator  MtE  Supplement  yourself,  draw  a 
  63. conclusion and announce your findings in a public forum. 
  64.  
  65. I also do not appreciate being accused of distributing malicious  software. 
  66. If you have evidence of this you should present it before posting  anything 
  67. else on this forum or use the forum for a public apology.
  68.  
  69.      >Leaving the ethical problems aside, do you try all kinds of flags
  70.      >(i.e., the contents of the AX register before calling the MtE)?
  71.      >Because, if you don't, you'll be able to generate only a small subset
  72.      >of the code that can be generated with the MtE...
  73.  
  74. The  Virus Simulator MtE Supplement exercises as may flags and  options  as 
  75. possible.
  76.  
  77. Doren Rosenthal
  78.  
  79.