home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #1 / NN_1993_1.iso / spool / comp / virus / 4878 < prev    next >
Encoding:
Internet Message Format  |  1993-01-12  |  2.1 KB
  1. Path: sparky!uunet!spool.mu.edu!howland.reston.ans.net!zaphod.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: CSCRDW%CURIE@vaxtm1.rtpnc.epa.gov (Ron Whittle)
  3. Newsgroups: comp.virus
  4. Subject: Re: How to measure polymorphism
  5. Message-ID: <0006.9301121242.AA22066@barnabas.cert.org>
  6. Date: 7 Jan 93 19:26:09 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 38
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. On 06 Jan 93, bontchev said:
  12.  
  13. > There are already two polymorphic engines available (MtE and TPE) and
  14. > we are going to see more and more polymorphic viruses in the future.
  15. > An interesting question arises - how to determine how polymorphic a
  16. > virus is? How to determine which of two viruses is "more polymorphic"?
  17. > In other words - how to measure polymorphism in an objective way?
  18.  
  19. I think that the first thing that needs to be done is to separate the
  20. 'polymorphism' from the 'encryption'.  In your example code, that
  21. would not be a polymorphic virus (rating 0), but an encrypting virus
  22. (rating 1).
  23.  
  24. > Unfortunately, this is not good enough. First, what to do with viruses
  25. > that use a limited set of decryptors, one of which is selected
  26. > randomly (Whale). Such viruses are obviously more polymorphic than
  27. > Cascade. But are they more or less polymorphic than Suomi? They can be
  28. > detected by a set of non-wildcard strings...
  29.  
  30. By giving different ratings for encryption and polymorphism, this
  31. problem would not be as big.  Also, a lesson could be taken from
  32. fractal geometry.  Assign (whale) type viruses ratings between
  33. numbers (1.3 for example).
  34.  
  35. > Second, what about Bad Boy? It consists of 9 segments of code, 8 of
  36. > which can appear in any order. This gives 8! = 40,320 variants. But
  37. > the virus is even not encrypted, so it can be detected with a simple
  38. > (non-wildcard) scan string...
  39.  
  40. Bad Boy would have an encryption rating of 0, and a polymorphism
  41. rating of 1 (or whatever.  I don't think the number of variants is
  42. the only factor to be considered in the polymorphic rating.  As you
  43. have shown, even a small number of segments can lead to a large
  44. number of variants).
  45.  
  46. - ---
  47. Ron Whittle
  48. cscrdw%curie@epavax.rtpnc.epa.gov
  49.